Siber Güvenlik Merkezi (NCSC), Rastgele Üç Kelimeden Oluşan Şifreler Kullanılmasını Tavsiye Etti
Google ve Microsoft gibi bazı kuruluşlar şifreleri yok etmek istese de, bunun neredeyse tüm çevrimiçi hizmetler tarafından yoğun olarak kullanılan geleneksel bir kimlik doğrulama biçimi olduğu düşünüldüğünde bu kolay bir iş değil. 2016'da, siber güvenlik konusunda rehberlik sağlayan bir Birleşik Krallık Hükümeti kuruluşu olan Ulusal Siber Güvenlik Merkezi (NCSC), insanları çevrimiçi kaydolurken, karmaşık bir sistemi düşünmek veya yeniden kullanmak yerine şifreleri olarak üç rastgele kelimeden oluşan bir kombinasyon seçmeye zorladı. Konu oldukça tartışmalara yol açtı ve şimdi kuruluş bu tavsiyeyi neden verdiğine daha fazla ışık tuttu.
NCSC, çoğu web sitesinin, genellikle birden çok karakter ve sembolün bir kombinasyonunu içeren karmaşık şifrelerin kullanımını zorunlu kıldığını vurguladı. Bu, kaba kuvvet saldırılarını optimize etmek için bu kuralları kullanabildikleri için, sezgisel olarak kötü niyetli aktörlerin işini de kolaylaştırır. Aynı zamanda, çok sayıda karmaşık şifre oluşturmak ve hatırlamak sıkıcı olduğundan, insanların birden fazla web sitesinde aynı şifreyi veya şifrenin varyasyonlarını yeniden kullandıkları anlamına gelir. Bu eylem, parolaları çevrimiçi veya çevrimdışı olarak saklamanın riskli olduğu inancından da kaynaklanmaktadır. NCSC, şifrelerin her iki depo türünden de çalınabileceğini kabul etse de, güvenli depolama çözümlerinde şans oldukça düşüktür ve faydalar genellikle risklerden daha ağır basar.
Bu bağlamda, kuruluş üç rastgele kelimenin bir kombinasyonunu kullanmanın daha iyi olduğuna inanmaktadır. Bu hamlenin bazı nedenleri arasında artan parola uzunluğu, anlaşılması kolay bir standart olarak benimsenmesi, mevcut teknoloji ortamındaki yeniliği ve kullanılabilirliği sayılabilir.
NCSC, bu kılavuzu hem kişisel hem de iş kullanımı için sağladığından beri dile getirilen bazı endişelere de yanıt verdi. Bazıları, "üç rastgele kelimeyi" tahmin etmek için arama algoritmalarının zaten mevcut olduğunu iddia etti. Kuruluş, önerilen tekniğine göre, insanların parolalarını birden çok kişiselleştirilmiş yolla üretmeye devam edeceğini iddia ediyor, bu da bir saldırganın yararlı parolaları bulmak için birkaç algoritma kullanması gerekebileceği anlamına geliyor. Karşılaştırıldığında, çoğu web sitesinin şu anda parolalar üzerinde uyguladığı sabit sözcük kuralları kümesi göz önüne alındığında, bir saldırganın parolaları tahmin etmek için tek bir algoritma kullanması daha kolaydır.
NCSC, bu tekniğin daha zayıf parolalara yol açacağı iddialarıyla ilgili olarak şunları söyledi:
Karmaşıklık gereksinimlerine uyan birçok yaygın parola vardır. Örneğin, 'Pa55word!' bir web sitesi veya hizmet için karmaşıklık gereksinimlerini karşılayabilir, ancak oldukça tahmin edilebilir olduğu için kötü bir şifredir. Benzer şekilde, izin verilmeyen benzersiz karmaşık şifreler (rastgele üç kelime kullanılarak oluşturulmuş) vardır. Karmaşıklık gereksinimleri tek başına kör bir araçtır; NCSC, zayıf parolaların daha hedefli bir şekilde kaldırılmasını sağlamak için parola reddetme listelerinin uygulanmasıyla birlikte bir minimum uzunluk gereksinimi önerir.
Son olarak, siber güvenlik kurumu, şifreniz olarak rastgele üç kelimenin bile gümüş kurşun olmadığını kaydetti. Bu teknikle oluşturulan parolaları depolamak için güvenli çözümlerin kullanılmasını şiddetle tavsiye ediyor ve parolalara olan güveni azaltma stratejisinin, bu alandaki parola çeşitliliği de en aza indirilmeden önce başarılı olacağına dair umutlar besliyor. Şu anda karmaşık görünen parolalarla ilgili sorun gibi.