İdeal olması nedeniyle bilişim altyapısını oluşturan öğelerin bir bütün halinde yönetilmesi, her kurumun uygulamak isteyebileceği bir modeldir. Ancak bu modelin pratikte tam anlamıyla hayat bulması, başta teknik kısıtların olması nedeniyle birçok açıdan zordur.

Varsayılan/Zayıf Parola ile veya Parolasız Kullanılan Ağ Öğeleri

Bir bütün halinde yönetilemeyen ağ öğeleri (sunucu, ağ cihazı, yönetim panelleri vs.) kıyıda köşede kalmanın getirebileceği bazı olumsuz koşullardan etkilenecektir. Bu koşullardan biri de, parola uygulamaları ile ilgili olan güvenlik koşuludur. Kurulumu yeni yapılan sistemler eğer bir bütünlük politikası altında yönetilmiyorsa, varsayılan kurulum ayarlarıyla hayatlarına devam edebilirler. Bu varsayılan ayarların olumsuz etkileri ise ancak sistemlerin “Production” (canlı) ortamlarda geçirdikleri zaman boyunca elde edilen performans sonuçlarından görülebilir. Olumsuz etkiler görülmeye başlandığında ise çoğu zaman iş işten geçmiş olacaktır. Varsayılan ayarlarıyla Production ortamına bırakılan bir öğe zaman içinde “Gizliliğin Bozulması”, “Erişimin Engellenmesi”, “Bilgi Açığa Çıkartılması”, “Bütünlüğün Bozulması” veya “Yetkisiz Erişimin Sağlanması” gibi etkilerle sistemde bulunduğu konuma göre Kritik, Yüksek, Orta veya Düşük olmak üzere çeşitli seviyelerde önem arz eden sorunlar ile kurum altyapısını tehdit etmeye başlayacaktır.
Varsayılan veya Zayıf Parola Kullanımı, Yetkisiz Erişimin Sağlanması etkisine sahip, teknik ölçütlerde “Kritik” olarak seviyelendirilmiş ve çoğu zaman da önem seviyesi Kritik olan tehditlerden biridir. Saldırgan gözüyle bakıldığında, kritik bir noktada önem arz etmesine rağmen kıyıda köşede kalmış bir sistem aslında bir hazine değerindedir.

Parolanın varsayılan olarak bırakıldığı veya zayıf bir paroladan seçildiği durumları şu şekilde özetlemek mümkündür:

• Kurulum sonrası çalışmaya başlayan sistemde varsayılan ayarları değiştirmeye gerek duyulmaması. (Kurum ve çalışana ait güvenlik kültürü de bu duruma bir etkendir.)

• Kurulum sonrası ortak kullanımlarda kolay paylaşılabilecek bir parola seçme gereksinimi hissedilmesi.

• Hatırlanması ve yazması kolay bir parola seçme ihtiyacı hissedilmesi.

• Bir sistem kurulurken yanında kurulumla gelen başka bileşenlerin de sisteme yüklenmesi ve bu bileşenlerin yüklendiğinin farkında olunmaması.

• Gündelik iş hayatındaki unutkanlık ve dikkatsizlik kaynaklı durumlar. 

Bu kök neden altında değerlendirilebilecek bazı açıklar:

Varsayılan veya zayıf parola ayarlarıyla canlı ortama bırakılmış ağ öğelerinin yanı sıra bütün bir ağda parola kullanımının gerektiği yerlerde parola seçimi de önemli bir konudur. Parola seçimleri için bir karar verilirken kullanılacak olan sistem, bu sistemin önemi ve kullanım sıklığı gibi faktörler doğru değerlendirilip, kullanılabilirlik ve güvenlik dengesine uygun bir parola seçimi yapmak yerinde bir davranış olacaktır.

Parolaların yüksek karakter sayısında (10-12+ karakter hanesi) ve karmaşık, kelime olarak anlamsız dizilerden seçilerek (Ab12+!*),  periyodik sıklıklarla değiştirilmesi her zaman tavsiye edilen bir yöntemdir. Ancak burada parolanın hatırlanabilirliği konusu devreye girmektedir. Bir parolanın çok karışık ve hatırlanması zor bir diziden seçilip unutulması “Erişilebilirliğin Engellenlenmesi” durumunu da beraberinde getirecektir. Bu yüzden parola seçimi yapılırken göz önünde bulundurulması gereken faktörlerden biri de bu parolanın hangi sistemde kullanılacağı konusudur. Kullanılacak olan sisteme göre hatırlanması daha kolay veya daha zor parola seçimi yapmak her zaman kullanıcı insiyatifindedir ancak bu insiyatif de genelde sistemin uyguladığı parola politikası ile sınırlandırılır.

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.