Kuruluşunuz artık parola güvenliğini bireysel ekip üyelerinin sorumluluğuna bırakamaz. Tüm iyi niyetlerine rağmen insanlar, kimlik doğrulama bilgilerini tarayıcılara, hesap tablolarına veya yapışkan notlara kaydetmek gibi kullanışlı ancak riskli alışkanlıklara yönelmektedir.
Güçlü bir parola ilkesi; parolaların kuruluşunuz genelinde nasıl oluşturulduğu, kaydedildiği, paylaşıldığı, gözden geçirildiği ve korunduğuna dair net ve uygulanabilir bir standart belirler. Modern bir ilke, kimlik doğrulama bilgileri kaynaklı riskleri azaltır, uyumluluğu destekler ve sistemler, ekipler ve iş akışları genelinde erişim güvenliğine tutarlılık getirir.
Bu, işletmelerin görmezden gelebileceği bir konu değildir. Verizon’un 2025 Veri İhlali İnceleme Raporu, kimlik doğrulama bilgileri istismarının, onaylanmış ele geçirilme olaylarındaki ilk saldırı vektörlerinin yüzde 22’sini oluşturduğunu saptamıştır. Yetersiz kimlik doğrulama bilgisi güvenliğinin bedeli ayrıca operasyonel aksaklıklar, mevzuat riskleri, itibar kaybı ve ekiplerin kaybedilen veya güvenliği ihlal edilen erişimi kurtarmak için çabaladığı uzun süreli kapalı kalma süreleri olarak da ortaya çıkmaktadır.
Bir parola ilkesi oluşturmanın yanı sıra kuruluşunuzun, güvenli alışkanlıkların benimsenmesini kolaylaştıran sistemlere ve araçlara ihtiyacı vardır. Kurallar operasyonel güvenliği sağlamak için yeterli değildir; çünkü sürtünmenin olduğu her yerde, iyi niyetli profesyoneller bile kısayollara başvuracaktır. Hedef, parola hijyenini en az direnç gösterilen yol haline getirmektir.
Aşağıdaki parola ilkesi şablonu, işletmenizin mevcut en iyi uygulamalara ve NIST uyumlu rehberliğe bağlı kalmasına yardımcı olabilir. Genel tavsiyelerden daha pratik bir çözüme ihtiyaç duyan kuruluşlar için bu şablonu dahili bir ilke, güvenlik el kitabı veya yönetişim kontrolü haline getirebilirsiniz.
Parola ilkesi şablonu (örnek)
| Bölüm | İlke gerekliliği (örnek dil) | Uygulama notları |
| Kapsam | Bu ilke, parola tabanlı kimlik doğrulama kullanarak şirket sistemlerine veya verilerine erişen tüm çalışanlar, yükleniciler, satıcılar ve üçüncü taraflar için geçerlidir. SaaS platformları, bulut hizmetleri, dahili araçlar, uç noktalar ve yönetim ortamları dahil tüm sistemleri kapsar. | Hiçbir sistemin veya kullanıcı grubunun kapsam dışında kalmadığından emin olun. Satıcıları ve paylaşılan ortamları dahil edin. |
| Kullanıcı sorumlulukları | Tüm kullanıcılar, parolaları bu ilkeye uygun olarak oluşturmalı, kaydetmeli ve yönetmelidir. Kullanıcılar kimlik doğrulama bilgilerini paylaşmamalı, parolaları yeniden kullanmamalı veya onaylanmamış konumlarda saklamamalıdır. Şüphelenilen kimlik doğrulama bilgisi ödünleri derhal bildirilmelidir. | İşe alım sürecine ve güvenlik eğitimlerine dahil edin. |
| Yönetim sorumlulukları | Yöneticiler; uygun erişim kontrolünü ve kimlik doğrulama bilgisi güncellemelerini sağlamak için işe alım, rol değişiklikleri ve işten ayrılma süreçlerinin zamanında iletilmesini sağlamalıdır. | İK iş akışlarıyla ilişkilendirin. |
| BT ve güvenlik sorumlulukları | BT ve güvenlik ekipleri bu ilkeyi uygulamak, parola yönetimi araçlarını onaylamak, uyumluluğu izlemek ve kimlik doğrulama bilgileriyle ilgili olaylara müdahale etmekten sorumludur. | Dahili olarak net bir sahiplik atayın. |
| Parola uzunluğu | Parolalar şu minimum uzunlukları karşılamalıdır: 15 karakter (standart hesaplar), 16 karakter (ayrıcalıklı hesaplar) ve 20 karakter (mümkün olan durumlarda paylaşılan hesaplar veya hizmet hesapları). | Sistemler uzun parolaları desteklemelidir (ideal olarak 64 karaktere kadar). |
| Parola oluşturma | Parolalar, kuruluşun onayladığı işletme parola yöneticisi kullanılarak rastgele oluşturulmalıdır. Kalıplara, kişisel verilere veya tahmin edilebilir yapılara dayalı kullanıcı tarafından oluşturulan parolalara izin verilmez. | Proton Pass for Business, güçlü ve rastgele parolaların oluşturulmasını otomatikleştirebilir. |
| Parola benzersizliği | Parolalar her hesap, sistem ve hizmet için benzersiz olmalıdır. İş sistemleri, kişisel hesaplar veya istemci ortamları arasında parolaların yeniden kullanılması kesinlikle yasaktır. | Sadece hafızaya güvenmek yerine araçlar ve eğitim yoluyla uygulayın. |
| Parola gücü testi | Parolalar zayıf olmamalı, yeniden kullanılmamalı veya bilinen veri ele geçirilme olaylarında daha önce açığa çıkmamış olmalıdır. | Mümkün olan durumlarda ele geçirilmiş parola tespitini destekleyen sistemler kullanın. |
| Yasaklanmış uygulamalar | Şunlar yasaktır: parolanın yeniden kullanılması; kişisel veya şirketle ilgili terimlerin kullanılması; tahmin edilebilir kalıplar; parolaların düz metin olarak saklanması; kimlik doğrulama bilgilerinin e-posta, sohbet veya notlar yoluyla paylaşılması. | Belirsizliği ortadan kaldırmak için bu bölümü açık tutun. |
| Çok faktörlü kimlik doğrulama (MFA) | MFA; bunu destekleyen tüm sistemlerde, özellikle e-posta, kimlik sağlayıcılar, uzaktan erişim, finansal sistemler, İK platformları ve yönetici hesapları için kullanıma alınmalıdır. | Öncelikle yüksek riskli sistemlere öncelik verin. |
| Parola depolama | Tüm kimlik doğrulama bilgileri yalnızca kuruluşun onayladığı parola yöneticisinde saklanmalıdır. Merkezi olarak yönetilmediği ve onaylanmadığı sürece tarayıcılarda veya yerel araçlarda depolamaya izin verilmez. | Proton Pass for Business, kontrollü erişime sahip şifrelenmiş kasalar sağlar. |
| Yasaklanmış depolama yöntemleri | Parolalar hesap tablolarında, belgelerde, e-posta taslaklarında, biletleme sistemlerinde, paylaşılan Drive’larda veya kişisel notlarda saklanmamalıdır. | Çok yaygın oldukları için bunları düzenli olarak denetleyin. |
| Parola paylaşımı | Parolalar resmi olmayan kanallar aracılığıyla paylaşılmamalıdır. Paylaşımın gerekli olduğu durumlarda bu; erişim kontrolünü, denetimi ve iptal işlemini destekleyen onaylı güvenli sistemler üzerinden gerçekleşmelidir. | Proton Pass for Business, parolanın kendisini ifşa etmeden güvenli kimlik doğrulama bilgisi paylaşımına olanak tanır. |
| Paylaşılan hesaplar | Paylaşılan veya hizmet hesabı kimlik doğrulama bilgilerinin atanmış bir sahibi olmalı, erişimi sınırlı olmalı, güvenli bir depolama alanında saklanmalı ve düzenli olarak incelenmelidir. Personel değişiklikleri olduğunda veya güvenlik ihlali şüphesi durumunda kimlik doğrulama bilgileri yenilenmelidir. | Mümkün olan durumlarda bireysel hesapları tercih ediniz. |
| Eğitim ve farkındalık | Tüm kullanıcılar, işe alım sırasında ve sonrasında periyodik olarak parola ve kimlik doğrulama bilgileri güvenliği eğitimini tamamlamalıdır. Eğitim; parola yönetimi, MFA kullanımı, kimlik avı girişimi farkındalığı ve olay bildirimi konularını içermelidir. | Eğitimi pratik ve güncel tutunuz. |
| Olay müdahalesi | Şüphelenilen veya onaylanan her türlü kimlik doğrulama bilgisi güvenliği ihlali derhal bildirilmelidir. Etkilenen kimlik doğrulama bilgileri sıfırlanmalı, oturumlar geçersiz kılınmalı ve erişimler gözden geçirilmelidir. Olaylar belgelenmelidir. | Müdahale hızı, kusursuzluktan daha önemlidir. |
| Bildirim gereklilikleri | Kullanıcılar, şüpheli kimlik doğrulama bilgisi ifşasını belirlenmiş bildirim kanalı üzerinden bildirmelidir. İyi niyetli bildirimlerden dolayı herhangi bir disiplin cezası uygulanmayacaktır. | Erken bildirimi teşvik eder. |
| İzleme ve günlük tutma | Kimlik doğrulama etkinliği; oturum açma girişimleri, kimlik doğrulama bilgisi değişiklikleri ve yetkili erişimler dahil olmak üzere mümkün olan yerlerde günlük olarak kaydedilmelidir. Günlükler, anomali tespiti için periyodik olarak incelenmelidir. | Öncelikle yüksek riskli sistemlere odaklanınız. |
| İşten ayrılış ve erişimi geçersiz kılma | Rol değişikliği veya iş akdinin feshi durumunda erişim derhal kaldırılmalıdır. Paylaşılan kimlik doğrulama bilgileri gözden geçirilmeli ve gerektiğinde yenilenmelidir. | Kuruluşlar için en yaygın hata noktalarından biri olduğundan bu durum kritiktir. |
| Uyumluluk uyumu | Bu ilke; NIST ve ISO 27001 erişim kontrolü gereklilikleri gibi tanınmış çerçevelerle kurumsal uyumluluğu destekler. | Denetimler ve yönetişim için yararlıdır. |
| Uygulama | Bu ilkeye uyulmaması, ciddiyetine bağlı olarak yeniden eğitim, erişim kısıtlamaları veya disiplin cezası ile sonuçlanabilir. | Tutarlı bir şekilde uygulayınız. |
| İnceleme döngüsü | Bu ilke, en az yılda bir kez veya sistemlerde, risklerde ya da mevzuat gerekliliklerinde önemli değişiklikler olduğunda incelenmelidir. | Güncellemeler için bir sorumlu atayınız. |
Parola ilkesi nedir? Tanımı, amacı ve hedefleri
Parola ilkesi, kimlik doğrulama bilgilerinin bir kuruluşun sistemleri genelinde nasıl oluşturulduğunu, yönetildiğini, depolandığını ve korunduğunu tanımlayan resmi kurallar bütünüdür.
Parola ilkesi kavramı kulağa basit gelir ancak etkisi geniştir. İşle ilgili kimlik doğrulama bilgileri için bir işletme parola yöneticisi kullanımını zorunlu kılmaktan çok daha fazlasıdır. Modern kuruluşlarda parola ilkeleri, kimlik güvenliğinin temelini oluşturur.
Kimlik doğrulama bilgilerinin sistemler genelinde nasıl ele alınacağını yöneten tutarlı bir ilke olmazsa, parola uygulamaları parçalı hale gelme eğilimi gösterir ve kuruluşlar erişimin gerçekte nasıl yönetildiği konusundaki görünürlüğünü yavaş yavaş kaybeder.
Güçlü bir parola ilkesinin amacı
İyi tanımlanmış bir parola ilkesi, kimlik doğrulama bilgilerinin kuruluşunuz genelinde nasıl ele alınması gerektiğine dair net beklentiler belirleyerek güvenlik açıklarını giderir. Parola oluşturma, depolama, paylaşma ve yaşam döngüsü yönetimi için tutarlı standartlar oluşturur.
Parola ilkeleri ayrıca yönetişim ve uyumlulukta önemli bir rol oynar. NIST Dijital Kimlik Kılavuzları(yeni pencere) gibi güvenlik çerçeveleri ve ISO 27001(yeni pencere) gibi standartlar, modern erişim kontrolünün bir parçası olarak güçlü kimlik doğrulama uygulamalarının önemini vurgular.
Hassas verileri, özellikle de kişisel bilgileri, finansal kayıtları veya tescilli iş bilgilerini işleyen kuruluşların, bu sistemlere erişimin belgelenmiş güvenlik kontrolleriyle yönetildiğini kanıtlamaları giderek daha fazla beklenmektedir.
Bir parola ilkesiyle kuruluşunuz; şirket sistemlerine, hizmetlerine, cihazlarına, uygulamalarına ve verilerine erişmek için kullanılan parolaların oluşturulması, saklanması, paylaşılması ve yönetilmesi için asgari gereklilikleri tanımlar.
Bir parola ilkesi ne işe yaramalıdır?
Bir parola ilkesi belgesinin şunları yapması amaçlanır:
- Parola kaynaklı güvenlik olaylarını azaltmak
- Parolaların yeniden kullanımını ve güvenli olmayan depolama uygulamalarını önlemek
- Güvenli parola oluşturma ve yönetme uygulamaları gerektirmek
- Çalışanlar, tedarikçiler ve sistemler genelinde güvenli erişimi desteklemek
- Denetim hazırlığını ve erişim yönetişimini güçlendirmek
- Güvenliği ihlal edilmiş kimlik doğrulama bilgileri için müdahale prosedürlerini tanımlamak
Bu hedefler birlikte ele alındığında, parola güvenliğinin resmi olmayan bir beklentiden ziyade operasyonel bir standart olarak görülmesini sağlamaya yardımcı olur.
Parola ilkesi: kapsam, roller ve sorumluluklar
Güçlü bir parola ilkesi iki şeyi açıkça belirtmelidir. İlk olarak, hangi kullanıcıların, sistemlerin ve verilerin ilkeye uyması gerektiğini net bir şekilde tanımlamalıdır.
İkinci olarak, kuruluşunuz genelinde bu standartların takip edilmesinden, uygulanmasından ve sürdürülmesinden kimin sorumlu olduğunu açıklığa kavuşturmalıdır.
Parola ilkenizin kapsamını belirleyiniz
Modern kuruluşlarda erişim, nadiren dahili ağlardaki tam zamanlı çalışanlarla sınırlıdır. Yükleniciler, tedarikçiler ve hizmet sağlayıcıların tamamı kurumsal sistemlere erişim gerektirebilir; bu nedenle ilke, parola tabanlı kimlik doğrulama yoluyla şirket sistemleri veya verileriyle etkileşime giren herkesi kapsamalıdır.
Ayrıca şunlar dahil olmak üzere tüm teknoloji ortamı genelinde de uygulanmalıdır:
- Bulut platformları
- SaaS araçları
- Dahili sistemler
- Geliştirme ortamları
- Yönetim konsolları
- Paylaşılan operasyonel hesaplar
Bu durum önemlidir çünkü saldırganlar, giriş noktası ararken birincil ve ikincil sistemler arasında nadiren ayrım yaparlar.
Parola ilkeniz dahilindeki rolleri ve sorumlulukları tanımlayın
Net bir sahiplik olmadığında, parola yönetimi parçalı hale gelir. Çalışanlar güvenliğin BT tarafından otomatik olarak sağlandığını varsayarken, BT ise kullanıcıların en iyi uygulamaları bağımsız olarak takip ettiğini varsayar. Etkili kimlik doğrulama bilgileri güvenliği, kuruluşunuz genelinde koordinasyon gerektirir.
Çalışanlar ve yükleniciler sistemlerle olan günlük etkileşimlerinde parola güvenliğini sağlarken, yöneticiler işe alım, rol değişiklikleri ve işten ayrılma süreçlerinde erişim yönetimini denetler. BT ve güvenlik ekipleri, teknik kontrollerin uygulanmasından ve uyumluluğun izlenmesinden sorumlu olacaktır. Sistem sahipleri ayrıca yönettikleri uygulama ve ortamlarda standartların uygulanmasını sağlayacaktır.
Minimum parola uzunluğu ve entropi gereksinimlerine ilişkin parola ilkesi yönergeleri
Parola uzunluğu, bir kimlik doğrulama bilgisinin gücünü belirleyen en önemli faktörlerden biridir. Daha uzun parolalar, bir saldırganın kaba kuvvet saldırısı sırasında test etmesi gereken olası kombinasyon sayısını önemli ölçüde artırır.
Aslında NIST(yeni pencere), parola uzunluğuna katı kompozisyon kurallarından daha fazla öncelik verilmesini önermektedir. Modern ilkeler, kullanıcıları belirli sembol, sayı ve büyük harf kombinasyonlarını kullanmaya zorlamak yerine, parolaların yeterince uzun olmasını ve bilinen sızdırılmış kimlik doğrulama bilgileriyle karşılaştırılarak taranmasını sağlamaya odaklanır.
Buna bağlı olarak kuruluşlar, teknik olarak mümkün olan her yerde sistemlerinin daha uzun ve daha karmaşık parolaları desteklemesini sağlamalıdır. Bunu yapmak, güvenlik ekiplerinin zaman içinde daha güçlü kimlik doğrulama bilgileri standartlarını benimsemesine olanak tanır ve kuruluşunuzun gelecekte gelişen güvenlik gereksinimlerini karşılamaya hazır olmasını sağlar.
Güçlü bir parola, şu temel gereksinimleri karşılamalı veya aşmalıdır:
- Kaba kuvvet ve otomatik kırma girişimlerine direnmek için yeterli uzunluk
- Sistemler arasında kimlik doğrulama bilgilerinin yeniden kullanılmasını önlemek için tek bir hesaba veya hizmete özgü
- Kişisel bilgilerden, şirket referanslarından veya tahmin edilebilir kalıplardan kaçınarak tahmin edilmesi zor
- Rastgele veya son derece öngörülemez, ideal olarak onaylanmış bir parola yöneticisi tarafından oluşturulmuş
- Daha önce bilinen veri ihlallerinde ifşa edilmemiş veya yaygın parola listelerinde bulunmayan
İsimlere, doğum günlerine, şirket terimlerine veya basit klavye kalıplarına dayalı parolaların, uzunlukları ne olursa olsun otomatik parola kırma araçları kullanılarak genellikle hızlı bir şekilde kırılabileceğini unutmayın. Hem bireyler hem de işletmeler için güçlü parola gereksinimleri hakkındaki ayrıntılı kılavuzumuza göz atın.
Parola rastgeleliği ve karmaşıklığı
Modern güvenlik çerçeveleri, kullanıcılardan parolaları manuel olarak icat etmelerini istemek yerine rastgele oluşturulmasını önermektedir. Onaylanmış parola yönetimi araçları tarafından oluşturulan rastgele parolalar, öngörülebilir kalıplardan kaçındıkları ve hatırlanması imkansız uzunluklarda oluşturulabildikleri için önemli ölçüde daha güçlü koruma sağlar.
Örneğin, Proton Pass bünyesinde sunulan güvenli parola oluşturucu ve güvenli kimlik doğrulama bilgileri yönetimi uygulamalarını kullanabilirsiniz. Bu araçlar birlikte güçlü ve öngörülemeyen parolalar oluşturmaya yardımcı olurken parola depolama alanı, paylaşım ve yaşam döngüsü yönetimi ile ilgili yaygın zorlukları da giderir.
Zayıf veya yeniden kullanılan parolaların kullanımını caydırmak için bir parola ilkesine aşağıdaki minimum gereksinimler dahil edilebilir:
- Standart kullanıcı hesabı parolaları en az 15 karakter uzunluğunda olmalıdır.
- Ayrıcalıklı veya yönetici hesabı parolaları en az 16 karakter uzunluğunda olmalıdır.
- Paylaşılan veya hizmet hesabı kimlik doğrulama bilgileri, teknik olarak mümkün olan yerlerde en az 20 karakter uzunluğunda olmalıdır.
- Sistemler mümkün olan yerlerde en az 64 karakterlik parolaları desteklemelidir.
- Desteklenen ve uygun olan yerlerde uzun parolalar kullanılabilir.
- Parolalar kullanılmadan önce kuruluşun onaylanmış güç ve tarama gereksinimlerini karşılamalıdır.
Sistem veya hizmet başına benzersiz parolaların kullanılması
Parolaların yeniden kullanılması, kimlik doğrulama bilgisi tabanlı güvenlik olaylarının en yaygın nedenlerinden biridir. Aynı parola birden fazla hizmette kullanıldığında, tek bir ele geçirilme durumu aynı anda birkaç sisteme erişimi ifşa edebilir.
Saldırganlar, bir hizmetten çalınan kullanıcı adlarının ve parolaların diğer platformlarda otomatik olarak test edildiği kimlik doğrulama bilgisi doldurma olarak bilinen bir tekniği kullanarak bu davranıştan düzenli olarak yararlanırlar.
Bu nedenle, benzersizlik tartışılamaz bir gerekliliktir. Her hesabın, hizmetin ve sistemin başka hiçbir yerde asla yeniden kullanılmayan kendine ait bir parolası olmalıdır.
Güvenli parola yönetimi araçlarının desteği olmadan onlarca veya yüzlerce benzersiz parolayı yönetmek gerçekçi olmazdı. Kurumsal parola yönetimi araçları, otomatik olarak güçlü parolalar oluşturup bunları güvenli bir şekilde saklayarak bu gereksinimi pratik hâle getirir ve çalışanların belleğe güvenmek zorunda kalmadan benzersiz kimlik doğrulama bilgilerini korumalarına olanak tanır.
Çok faktörlü kimlik doğrulama (MFA) gereksinimleri
Çok faktörlü kimlik doğrulama (MFA), özellikle kimlik doğrulama bilgilerinin kimlik avı girişimi, kötü amaçlı yazılım(yeni pencere) veya harici veri ihlalleri yoluyla ifşa edilebileceği ortamlarda, yetkisiz erişim riskini azaltmanın en etkili yollarından biridir.
MFA, kullanıcıların bir hesaba erişim sağlamadan önce kimliklerini en az iki bağımsız faktör üzerinden doğrulamalarını isteyerek çalışır. Bunlar şunları içerir:
- Kullanıcının bildiği bir şey (parola)
- Kullanıcının sahip olduğu bir şey (güvenlik anahtarı, kimlik doğrulama uygulaması veya mobil aygıt gibi)
- Kullanıcının olduğu bir şey (parmak izi veya yüz tanıma gibi biyometrik kimlik doğrulama).
Saldırganlar bu faktörlerin tümüne nadiren aynı anda erişebildikleri için MFA, tek başına çalınan kimlik doğrulama bilgilerinin bir hesabı tehlikeye atmak için kullanılma olasılığını önemli ölçüde azaltır.
NIST ve CISA gibi kuruluşların yönergeleri, parola tabanlı erişimin kullanıldığı her yerde, özellikle hassas veriler içeren veya yönetici ayrıcalıkları sağlayan sistemler için çok faktörlü kimlik doğrulama kullanımını güçlü bir şekilde teşvik etmektedir(yeni pencere).
MFA’nın parola ilkenize dahil edilmesi
Kuruluşunuz, iki adımlı doğrulamanın hesaplar genelinde dağıtılmasını ve yönetilmesini kolaylaştıran araçlar kullanarak MFA benimsenmesini daha da güçlendirebilir. Örneğin Proton Pass, kaydedilen kimlik doğrulama bilgileriyle birlikte zaman tabanlı tek kullanımlık parolaları (TOTP) saklayabilir ve otomatik doldurma ile oturum açma iş akışlarını basitleştirirken kimlik doğrulama verilerini şifrelenmiş halde tutabilir.
Kimlik doğrulama faktörlerini ayırmayı tercih eden kuruluşlar için Proton, güvenli altı haneli doğrulama kodları oluşturan ve bunları uçtan uca şifreleme kullanarak aygıtlar arasında senkronize edebilen özel bir Proton Authenticator uygulaması da sunmaktadır. Kimlik doğrulayıcı çevrim dışı çalışır ve açık kaynaklıdır; bu da kuruluşların şeffaflığı ve güçlü gizlilik korumalarını korurken iş hesaplarında MFA’yı uygulamalarına olanak tanır.
Güvenli parola paylaşımı uygulamaları
Pek çok güvenlik yönergesi parolaların paylaşılmasına tamamen karşı çıksa da, gerçek dünyadaki iş ortamları bunu hala gerektirmektedir. Hizmet hesapları, satıcı erişimi ve acil durum prosedürleri zaman zaman birden fazla yetkili kullanıcının aynı kimlik doğrulama bilgilerine erişmesini gerektirebilir.
Paylaşım e-posta, sohbet veya sözlü iletişim gibi resmi olmayan yollarla gerçekleştiğinde, kimlik doğrulama bilgileri ifşa olur ve kontrol edilmesi zorlaşır. Bu kanallar üzerinden bir kez paylaşıldığında, genellikle kimin erişimi olduğunu takip etmenin veya bu erişimi daha sonra geçersiz kılmanın güvenilir bir yolu yoktur.
Bu nedenle parola ilkeleri, paylaşımın nasıl ve ne zaman izin verileceğini tanımlamalıdır. Çoğu kuruluşta bu paylaşım, yalnızca erişim denetimleri, denetim ve gerektiğinde erişimi geçersiz kılma yeteneği sağlayan onaylı kimlik doğrulama bilgileri yönetimi araçları aracılığıyla gerçekleşmelidir.
İşten ayrılma ve erişimi geçersiz kılma prosedürleri
Çalışanlar rol değiştirdiğinde, kuruluştan ayrıldığında veya tedarikçi ilişkileri sona erdiğinde, erişim derhal gözden geçirilmeli ve ayarlanmalıdır. Kimlik doğrulama bilgilerinin zamanında geçersiz kılınmaması, yetkisiz erişimin en yaygın kaynaklarından biridir.
Güçlü bir parola ilkesi; hesapların kapatılması, paylaşılan kimlik doğrulama bilgilerinin yenilenmesi ve gereksiz sistem erişiminin geçersiz kılınması da dahil olmak üzere erişim ayrıcalıklarının rol değişikliklerini veya ayrılmaları yansıtacak şekilde derhal güncellenmesini sağlayarak işe alım ve işten ayrılma süreçleriyle entegre olmalıdır.
Birden fazla kişinin paylaşılan bir hizmet hesabına erişimi varsa eski çalışanların veya yüklenicilerin, hesapları kapatıldıktan sonra erişimlerini sürdürmelerini önlemek için personel değişiklikleri gerçekleşir gerçekleşmez parola yenilenmelidir.
Parola ilkesi ile insan alışkanlıkları arasındaki boşluğu Bridge ile kapatın
Parola ilkeleri yalnızca insanlar onlara uyduğunda etkilidir.
Çoğu kuruluşta başarısızlıklar ilkeler eksik olduğu için değil, ilkeler günlük iş akışlarına gömülü olmadığı için gerçekleşir. Süreçler belirsiz, araçlar yetersiz olduğunda veya beklentiler pekiştirilmediğinde çalışanlar kısayollara başvurur. Doğru şekilde uygulandığında (ve bir işletme parola yöneticisi ile birlikte), güçlü bir parola ilkesi gayri resmi alışkanlıkların yerini tutarlı denetimlerin almasını sağlar, kimlik doğrulama bilgileriyle ilgili riskleri azaltır ve güvenli erişim yönetimini sonradan akla gelen bir düşünce değil, günlük operasyonların bir parçası haline getirir.
