Şifrenizi düzenli olarak değiştirmek neden iyi bir fikir değildir?

Şifre güvenliği konusunda en kalıcı bilgilerden biri, şifrenizi düzenli olarak değiştirmenin güvenliği artırdığıdır. En azından, dünyanın dört bir yanındaki BT ekipleri onlarca yıldır insanları buna zorluyor.

Ancak bu tavsiye her zaman muhalefetle karşılaştı. Güvenlik sektöründeki pek çok kişi, bunun şifrelerin hatırlanması kolay olmasına yol açtığını savunuyor. Yapılan araştırmalar bu teoriyi kanıtladı ve şifreleri sık sık değiştirmenin güvenlik sorunlarına yol açtığını ortaya koydu.

Şifreleri sık sık değiştirmek güvenliğin zayıflamasına yol açar

Çoğumuz için 4, 6 veya 8 haftada bir zorunlu şifre değişikliği korkutucudur. Bir BT grubu, şifrenizi değiştirmenin, herkesin yeni şifreyi kullanacağı için herhangi bir güvenlik ihlalini anlamsız hale getireceği fikrini savundu.

Bu durum pratikte parola oluşturmada zaaflara yol açmaktadır. Güçlü, benzersiz ve tahmin edilmesi zor parolalar oluşturmak yerine çoğu kişi, küçük ve tekrarlanan bölümlerden oluşan, hatırlaması kolay parolaları tercih ediyor.

Örneğin, güçlü 16 karakterli bir parola, büyük ve küçük harflerin, sayıların ve sembollerin bir karışımını içeren "hS'9{yX?Fzu#=_:R" olabilir. Hatırlaması zor ama zamanla alışıyorsun. Oysa şifrenizi her ay değiştirmeniz gerekiyorsa bunu hatırlamaya vaktiniz olmayacaktır. Bunun sonucunda insanlar, küçük tekrarlı kısımları olan daha akılda kalıcı ifadeler kullanmaya başladılar.

• Ocak: zorşifre1
• Şubat: d1fficultpassword2
• Mart: d1ff1cultp4ssword3
• V,v...

Güçlü, benzersiz parolalar seçin (veya bir parola yöneticisi kullanın)

İngiltere Ulusal Siber Güvenlik Merkezi, 2015 yılından bu yana normal şifrelerin kullanılmaması yönünde tavsiyelerde bulunuyordu ve şimdi, 2024 yılında, Ulusal Standartlar Enstitüsü de bu tavsiyeyi uygulamaya koyuyor.

Yeni tavsiyeleri, parolaların her 365 günde bir süresinin dolmasını öneriyor, bu da zaman çerçevesini önemli ölçüde değiştiriyor ve güvenliği artırıyor.

Aynı zamanda NIST, parola uzunluğu ve gücüyle ilgili mesajlarını da güncelliyor. Bazı durumlarda parola oluşturma kuralları kullanıcıları 12 karakterle sınırlar veya belirli sembollerin kullanılmasını engeller. Şu anda NIST tüm parolaların şunları içermesini öneriyor:

• Minimum 15 karakter
• Maksimum 64 karakter
• Tüm ASCII karakterlerini, boşluk karakterlerini ve Unicode karakterlerini içerir

Bu değişiklikler, daha fazla parola giriş alanının daha güçlü ve daha akılda kalıcı parola ifadelerine olanak tanıyacağı ve genel parola gücünün de artacağı anlamına geliyor.

Elbette, şifre güvenliğiyle ilgilenen her kuruluşun bir şifre yöneticisinin kullanımını etkinleştirmesi gerekir. Parola yöneticisi kullanırken yerel veri depolama, sıfır bilgi şifrelemesi vb. gibi ek güvenlik hususları da söz konusudur, ancak tüm hesaplarınızı güçlü parolalarla korumak en iyi uygulamadır.