Siber güvenlik dünyasında, parolaların korunması her zaman kritik bir öneme sahip olmuştur. Kullanıcıların, sistemlerini ve kişisel verilerini korumak için güçlü parolalar kullanması gerekmektedir. Ancak, geleneksel parola güvenliği kuralları genellikle karmaşık ve kullanıcı dostu olmayan yöntemler içermekteydi. NIST (National Institute of Standards and Technology), bu durumu değiştirmek için önemli güncellemeler yaptı. İşte NIST’in yeni parola güvenliği kuralları, nedenleri ve getirdiği yenilikler hakkında detaylı bir inceleme.
Neden NIST’in Yeni Kurallarına İhtiyaç Duyuldu?
Geleneksel parola güvenliği yöntemleri genellikle karmaşık karakter kombinasyonları, sık değişiklik zorunluluğu ve zorunlu bileşim kuralları içermekteydi. Bu durum, kullanıcıların daha kısa ve kolay hatırlanabilir parolalar seçmelerine yol açıyordu. Kullanıcıların parolalarını hatırlamakta zorlanmaları, genellikle zayıf parolalar kullanmalarına ve bu da sistemlerin güvenliğini tehdit eden siber saldırılara davetiye çıkarmaktadır. NIST’in yeni kuralları, bu sorunları ortadan kaldırmayı hedeflemektedir.
1. Minimum Parola Uzunluğu
- Eski Kural: Parolaların en az 8 karakter uzunluğunda olması gerekiyordu.
- Yeni Kural: Parolaların en az 8 karakter uzunluğunda olması zorunludur ve tercih edilen uzunluk 15 karakterdir.
- Kuralın Detayı: Uzun parolalar, olasılıkların artması nedeniyle daha zordur.
- Örnekleme: Bir parola 8 karakter uzunluğunda ve sadece rakamlardan oluşuyorsa, bu durumda toplam olasılık 10 milyondan fazla olmasına rağmen, 15 karakter uzunluğunda bir parola (örneğin: “Parola2024Güçlü!”) çok daha fazla kombinasyon sunar.
2. Maksimum Parola Uzunluğu
- Eski Kural: Parolalarda maksimum uzunluk yoktu.
- Yeni Kural: Parola uzunluğu en az 64 karakter olmalıdır.
- Kuralın Detayı: Uzun parolaların kullanılmasına izin vermek, kullanıcıların daha karmaşık parolalar oluşturmasına olanak tanır.
- Örnekleme: “Sıra dışı bir parolayla güvenli kal!” gibi uzun ve anlamlı bir cümle, tahmin edilmesi zor bir şifre sağlar.
3. Karakter Setinin Genişletilmesi
- Eski Kural: Belirli karakter setleri zorunluydu (örneğin, büyük harf, küçük harf, rakam).
- Yeni Kural: Tüm yazdırılabilir ASCII karakterleri ve Unicode karakterleri parolalarda kullanılmalıdır.
- Kuralın Detayı: Geniş karakter setinin kullanımı, kullanıcıların daha çeşitli ve yaratıcı parolalar oluşturmalarını sağlar.
- Örnekleme: Kullanıcılar, Türkçe karakterler (ç,ğ,ş), semboller ve diğer dillerden karakterler (örneğin: “SüperParola123!”) kullanarak parolalarını özelleştirebilirler.
4. Bileşim Kuralları
- Eski Kural: Karmaşık bileşim kuralları (büyük harf, küçük harf, rakam, özel karakter) zorunluydu.
- Yeni Kural: Karmaşık bileşim kuralları uygulanmamalıdır.
- Kuralın Detayı: Kullanıcıların anlamlı parolalar oluşturmasına olanak tanımak, güvenliği artırabilir.
- Örnekleme: “Kedim7HepGüzel” gibi anlamlı bir cümle, karmaşık karakterler içeren, fakat kullanıcılar için hatırlanması zor olan bir parola kadar güvenli olabilir.
5. Parola Değişiklikleri
- Eski Kural: Kullanıcıların parolalarını düzenli olarak değiştirmeleri gerekiyordu.
- Yeni Kural: Kullanıcıların parolalarını düzenli olarak değiştirmeleri gerekmez.
- Kuralın Detayı: Kullanıcıların parolalarını sık sık değiştirmeleri, genellikle zayıf parolalar seçmelerine yol açar.
- Örnekleme: İhlal durumunda zorunlu bir değişiklik yapılması, bu tür bir uygulamanın kullanıcı deneyimini iyileştirdiği anlamına gelir.
6. Parola İpuçları
- Eski Kural: Kullanıcılara parola ipuçları sağlamak zorunluydu.
- Yeni Kural: Kullanıcıların doğrulanmamış bir talep eden tarafından erişilebilen ipuçları saklaması yasaktır.
- Kuralın Detayı: Bu kural, kullanıcıların parolalarını daha güvenli bir şekilde korumalarına yardımcı olur.
- Örnekleme: “Kedim7HepGüzel” parolasının hatırlanmasını kolaylaştırmak için bir ipucu sağlamak yerine, bu parolanın kendisini güvende tutmaları beklenir.
7. Bilgiye Dayalı Kimlik Doğrulama (KBA)
- Eski Kural: Bilgiye dayalı güvenlik soruları kullanılmasına izin veriliyordu.
- Yeni Kural: Bilgiye dayalı kimlik doğrulama ve güvenlik soruları kullanılmamalıdır.
- Kuralın Detayı: Kullanıcıların tahmin edilmesi kolay sorulara dayalı kimlik doğrulama yapmaları güvenlik risklerini artırır.
- Örnekleme: “İlk evcil hayvanımın ismi neydi?” gibi soruların, siber suçlular tarafından kolayca tahmin edilebilmesi olasıdır.
8. Parola Doğrulama
- Eski Kural: Gönderilen parolanın bir kısmı doğrulanıyordu.
- Yeni Kural: Gönderilen parolanın tamamı doğrulanmalıdır.
- Kuralın Detayı: Kullanıcıların parolalarının eksik ya da yanlış bir şekilde kontrol edilmesini önler.
- Örnekleme: Bu, özellikle karmaşık parolaların kullanıldığı durumlarda önemlidir. Parolanın tamamen kontrol edilmesi, kullanıcıların güvenliğini artırır.
9. Unicode Karakter Sayımı
- Eski Kural: Unicode karakterler, parola uzunluğunu değerlendirirken dikkate alınmıyordu.
- Yeni Kural: Her Unicode kod noktası, parola uzunluğunu değerlendirirken bir karakter olarak sayılmalıdır.
- Kuralın Detayı: Bu, kullanıcıların farklı dillerde ve karakter setlerinde parolalar oluşturmalarını teşvik eder.
- Örnekleme: Geniş bir karakter yelpazesinin kullanılması, parolaların daha güvenli hale gelmesine katkı sağlar. Örneğin: “Ağ1ğKu1t!”, burada “ğ” karakteri de uzunlukta sayılmaktadır.
About the Author
