Şifre Sprey Saldırı Tanımlama ve Kendinizi Savunma
Yetkisiz hesaplara erişim sağlamak için en sık kullanılan iki yöntem (a) Brute Force Attack ve (b) Password Spray Attack'tır(Password Spray Attack) . Kaba Kuvvet Saldırılarını(Brute Force Attacks) daha önce anlatmıştık . Bu makale, Parola Sprey Saldırısı(Password Spray Attack) - ne olduğu ve kendinizi bu tür saldırılardan nasıl koruyacağınız üzerine odaklanmaktadır .
Şifre Sprey Saldırı Tanımı
Password Spray Attack , Brute Force Attack'ın(Brute Force Attack) tam tersidir . Brute Force saldırılarında , bilgisayar korsanları savunmasız bir kimlik seçer ve bir parolanın girmelerine izin verebileceğini umarak parolaları birbiri ardına girer. Temel olarak(Basically) , Brute Force yalnızca bir kimliğe uygulanan birçok paroladır.
Password Spray saldırılarına gelince , birden fazla kullanıcı kimliğine uygulanan bir parola vardır, böylece kullanıcı kimliklerinden(IDs) en az biri tehlikeye girer. Parola Spreyi(Password Spray) saldırıları için bilgisayar korsanları, sosyal mühendislik(social engineering) veya diğer kimlik avı yöntemlerini(phishing methods) kullanarak birden fazla kullanıcı kimliği(IDs) toplar . Bu kullanıcılardan en az birinin 12345678 veya hatta [e-posta korumalı]([email protected]) gibi basit bir şifre kullandığı sıklıkla görülür . Bu güvenlik açığı (veya güçlü parolaların(create strong passwords) nasıl oluşturulacağına ilişkin bilgi eksikliği ) Parola Püskürtme Saldırılarında(Password Spray Attacks) istismar edilmektedir .
Parola Sprey Saldırısında(Password Spray Attack) , bilgisayar korsanı , topladığı tüm kullanıcı kimlikleri(IDs) için dikkatlice oluşturulmuş bir parola uygular. Şanslıysa, bilgisayar korsanı, bilgisayar ağına daha fazla girebileceği bir hesaba erişim sağlayabilir.
Parola Sprey Saldırısı, bu nedenle, bir kuruluştaki birden fazla kullanıcı hesabına, bu hesaplardan birine yetkisiz erişimi güvence altına almak için aynı parolanın uygulanması olarak tanımlanabilir.(Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.)
Kaba Kuvvet Saldırısı(Brute Force Attack) ve Parola Sprey Saldırısı(Password Spray Attack)
Brute Force Attacks ile ilgili sorun , farklı şifrelerle belirli sayıda denemeden sonra sistemlerin kilitlenebilmesidir. Örneğin, sunucuyu yalnızca üç denemeyi kabul edecek şekilde ayarlarsanız, aksi takdirde oturum açmanın gerçekleştiği sistemi kilitlerseniz, sistem yalnızca üç geçersiz parola girişi için kilitlenir. Bazı kuruluşlar üçe kadar izin verirken, diğerleri en fazla on geçersiz denemeye izin verir. Birçok web sitesi bugünlerde bu kilitleme yöntemini kullanıyor. Bu önlem, Brute Force Attacks(Brute Force Attacks) ile ilgili bir sorundur, çünkü sistem kilitleme, yöneticileri saldırı hakkında uyaracaktır.
Bunu önlemek için, kullanıcı kimliklerini(IDs) toplama ve bunlara olası şifreleri uygulama fikri yaratıldı. Password Spray Attack ile de bilgisayar korsanları tarafından belirli önlemler alınmaktadır. Örneğin, şifre1'i tüm kullanıcı hesaplarına uygulamaya çalıştılarsa, ilk turu tamamladıktan hemen sonra bu hesaplara şifre2 uygulamaya başlamazlar. Bilgisayar korsanlığı girişimleri arasında en az 30 dakikalık bir süre bırakacaklar.
Parola Sprey Saldırılarına(Password Spray Attacks) Karşı Koruma
İlgili güvenlik politikalarının mevcut olması koşuluyla, hem Brute Force Attack hem de Password Spray saldırıları yarıda durdurulabilir. 30 dakikalık boşluk bırakılırsa, bunun için bir önlem alınırsa sistem tekrar kilitlenir. İki kullanıcı hesabındaki oturum açma işlemleri arasında zaman farkı eklemek gibi bazı başka şeyler de uygulanabilir. Saniyenin çok küçük bir kısmıysa, iki kullanıcı hesabının oturum açma zamanlamasını artırın. Bu tür politikalar, veritabanlarında okuma-yazma işleminin gerçekleşmemesi için sunucuları kapatabilecek veya kilitleyebilecek yöneticilerin uyarılmasına yardımcı olur.
Kuruluşunuzu Parola Sprey Saldırılarından(Password Spray Attacks) korumanın ilk yolu, çalışanlarınızı sosyal mühendislik saldırılarının türleri, kimlik avı saldırıları ve parolaların önemi konusunda eğitmektir. Bu şekilde çalışanlar hesapları için öngörülebilir şifreler kullanmayacaktır. Diğer bir yöntem ise, yöneticilerin kullanıcılara güçlü şifreler vererek, şifreleri not almamaları ve bilgisayarlarına yapıştırmamaları için dikkatli olmaları gerektiğini açıklamalarıdır.
Kurumsal sistemlerinizdeki güvenlik açıklarını belirlemeye yardımcı olan bazı yöntemler vardır. Örneğin, Office 365 Kurumsal(Enterprise) kullanıyorsanız , çalışanlarınızdan herhangi birinin zayıf parola kullanıp kullanmadığını öğrenmek için Attack Simulator çalıştırabilirsiniz .
Sonrakini okuyun(Read next) : Etki Alanı Önleme Nedir(Domain Fronting) ?
Related posts
Bu özellik çıkarılabilir medya gerektirir - Password Sıfırlama hatası
Microsoft Account and Local Account için bir Password Expiration Date ayarlayın
Browser show Nasıl Yapılır? Password Text'de Noktalar yerine
LessPass ücretsiz Password Generator and Manager olduğunu
Bitwarden Review: Windows PC için ücretsiz Open Source Password Manager
RememBear Password Manager Review: Basit, Secure and Efficient!
Windows 10 bilgisayarda BIOS or UEFI password nasıl ayarlanır ve kullanın
Chrome için Firefox içinde Windows 10 şifreleri içe nasıl
Reset Windows Password Recover ile Password Home Free
Windows 10 için Enpass Password Manager
NordPass Password Manger özel verilerinizi güvende tutar
Best Free Online Password Managers - Onlar güvende mi?
CSV'ye LastPass şifreleri nasıl ihraç edilir
Strength Password'nın Password Strength Checker Tools ile kontrol edin
Firefox Lockbox, şifrelerinizi telefonunuza taşımanıza izin verir
Zoho Vault Password Manager Free Version & Chrome & Firefox extension
F-Secure KEY: Windows 10 için Password Manager freeware
Windows PC, Android and iPhone için Gerçek Key Password Manager
SafeInCloud Password Manager Cloud Hesapları ile Database'i senkronize eder
KeeWeb bir Açık Kaynak Cross-Platform Password Manager software olduğunu