En Güçlü Firewall Bile "123456" Parolasına Yenilir: Neden Hâlâ Parola Güvenliğini Konuşuyoruz? 🔒🛡️


Kurumsal ağ altyapılarını yönetirken (Firewall’lar, VPN’ler, EDR çözümleri ve kompleks ağ mimarileriyle) siber güvenliğin en yüksek teknolojilerini kullanıyoruz. Ancak sistem yöneticisi olarak her zaman hatırladığımız bir acı gerçek var: Siber saldırıların %80’inden fazlası, karmaşık ağ saldırılarıyla değil, sadece çalınmış veya tahmin edilmesi kolay parolalarla gerçekleşiyor.
Active Directory’de veya bulut servislerinde (Microsoft 365 vb.) en sıkı güvenlik politikalarını da uygulasanız, eğer o kapıyı açan anahtar (parola) zayıfsa, kalenizin surlarının bir önemi kalmıyor.
Gelin, parolalar neden dijital varlıklarımızın en zayıf halkası haline geldi ve biz sistem yöneticileri olarak bu süreci nasıl yönetmeliyiz, kısaca bakalım:
İlk olarak, "parola karmaşıklığı" artık tek başına bir çözüm değil. Eskiden sadece büyük harf, küçük harf ve rakam kombinasyonu isterdik. Ancak bugün yapay zeka destekli brute-force saldırıları, bu kombinasyonları saniyeler içinde kırabiliyor. Çözüm artık karmaşıklıktan ziyade "parola uzunluğu" ve "parola öbeği" (passphrase) mantığına geçmekte yatıyor. Bir parola ne kadar uzunsa, kırılması o kadar imkansız hale gelir.
İkinci olarak, her platformda aynı parolayı kullanma alışkanlığı, kurumsal güvenliğin en büyük düşmanıdır. Kişisel bir web sitesinde yaşanan veri ihlali, o kullanıcı aynı parolayı şirket hesabında da kullandığı için bir anda kurumsal bir felakete dönüşebiliyor. Kullanıcılarımıza, her platform için eşsiz ve benzersiz parolalar üretmelerini sağlayacak "Parola Yöneticisi" (Password Manager) araçlarını benimsetmek, bir BT yöneticisinin en önemli görevlerinden biridir.
En önemlisi ise; parolanın artık tek başına yeterli olmadığını kabul etmemiz gerekiyor. Bugün, Multi-Factor Authentication (MFA) veya Çok Faktörlü Doğrulama, kurumsal güvenliğin olmazsa olmazıdır. Parolanız çalınsa bile, ikinci bir doğrulama katmanı (Authenticator uygulaması, donanım anahtarı vb.) saldırganı kapının dışında tutan tek gerçek kalkanınızdır. Bizim gibi bulut tabanlı kimlik yönetimi yapan sistemlerde, MFA artık bir "tercih" değil, bir "zorunluluktur".
📌 BT Ekipleri İçin Tavsiye:
Kullanıcılarınızdan karmaşık parolalar isteyip 3 ayda bir değiştirmelerini zorunlu kılmak, çoğu zaman "parolanın bir yere not edilmesine" veya "daha basit varyasyonların üretilmesine" yol açıyor. Bunun yerine; MFA'yı zorunlu kılın, parola uzunluğunu artırın ve parola değiştirme periyotlarını sadece gerçekten bir risk (ihlal) olduğunda devreye alın.
Parola politikalarınızı güncel tutmak, kurumsal güvenliğinizi saldırı yüzeyine karşı korumanın en maliyetsiz ve etkili yoludur.


