2023 Zayıf Parola Raporu
Her yıl Secops tarafından yayınlanan “Weak Password Report” bu yıl da yayınlandı. İnsanlar tahmin edilmesi kolay parolalar kullandığından parolalara saldırmak kolaydır. Bu parolalar tahmin edilebilir çünkü insanlar parolalarını yeniden kullanıyor ve ortak kalıp ve temaları takip ediyor. Bu parolalar daha sonra ihlal edilenler listelerinde yer alır ve kaba kuvvet (brute force) ve parola püskürtme (spraying) yoluyla saldırıya uğrayabilir. Yaygın parola kalıplarını ve kullanıcı davranışlarını anlamak, parolaların ve korudukları kritik iş verilerinin güvenliğini sağlamanın ilk adımıdır.
Bu yılın Zayıf Parola Raporu, parolaların neden hâlâ bir kuruluşun ağındaki en zayıf halka olduğunu ve ne kadar güçlü olduğunu vurguluyor.
Parola politikasının uygulanması en iyi savunmanız olabilir.
Araştırma 800 milyon ihlal edilmiş parolaya ilişkin analizdir; rapor güvenlik ihlaline uğramış 3 milyardan fazla benzersiz paroladan oluşur.
Öne çıkan konular ise şöyle;
- Ele geçirilen parolaların %83’ü, düzenleyici parola standartlarının parola uzunluğu ve karmaşıklık gereksinimlerini karşılıyor.
- Canlı saldırılarda RDP bağlantı noktalarına saldırmak için kullanılan parolaların %88’i 12 karakter veya daha azdır.
- Birden çok bağlantı noktası üzerinden ağlara saldırmak için kullanılan parolalarda bulunan en yaygın temel terim hâlâ paroladır.
Özellikle parola seçimi üzerinde durulurken saklama koşullarının da önemine vurgu yapılıyor. Zira parolanız her ne kadar uzunluk ve karmaşıklık olarak gerekli standartları taşıyor olsa da saklama koşullarının uygun olmaması durumunda çalınma riskinin artması da söz konusu.
Zayıf parolalarda bu yıl liste yine çok değişmemiş görünüyor, liste ise şöyle;
- password
- admin
- welcome
- p@ssw0rd
- qaz2wsx
- homelesspa
- p@ssword
- qwertyuiop
- q2w3e4r5t
- q2w3e4r
Raporun devamında farklı firmalara ait çalınan parolalar üzerinde yapılan analizler de yer almaktadır, raporun tamamına buradan erişebilirsiniz.