Açıklama:
Ağda bulunan istemci sistem yöneticisi veya servislere özel kullanıcı hesaplarının kolay tahmin edilebilir şifrelere sahip olması bir saldırganın kurum ağına yönelik kullanabileceği en basit saldırı yöntemidir. Özellikle yönlendirici yönetim şifreleri veya sunucu servislerine ait kullanıcı hesaplarının şifreleri kolayca tahmin edilebilmektedir. Web temelli uygulamaların yaygınlaşması ile web temelli uygulamalar da şifre seçim hatalarından etkilenmektedir. Bir saldırganın yönetim hesaplarını veya geçerli bir kullanıcıya ait şifreleri ele geçirmesi durumunda kurum ağına sınırsız erişim sağlanabilmekte ve istenen ağ sistemi kolayca ele geçirilebilmektedir.
Çözüm Önerileri:
Şifre seçimi kalitesi ve yönetimi konusunda kurum politikası oluşturulmalıdır. Başta sistem yöneticileri olmak üzere kullanıcıların şifre seçim kriterlerine uyumu dizin hizmetleri veya alan denetçileri ile sağlanmalı ve kullanıcıların daha zor tahmin edilebilir şifre seçimleri yapmaları sağlanmalıdır. Özel uygulama alanlarında (sanal özel ağ ERP yazılımları bankacılık uygulamaları vb.) harici doğrulama sistemleri veya sayısal sertifikalar kullanılmalıdır. Web temelli uygulamaların tasarımında kullanıcı hesap yönetimi ve şifre seçimi konusunda beklenen kriterlerin uygulanması zorlayıcı olmalıdır.
C.tesi Eyl. 19, 2009 2:27 pm