GÜV.09 — Şifre Standartları
Açıklama
Şirket BT sistemleri için geçerli olan şifre politikası bu standart içerisinde tanımlanmıştır. Şifre standartları, uygulanması zorunlu olan minimum kriterleri belirler.
Standartlar
- Şifreler en az 12 karakterden oluşur; kolay hatırlanan, birden fazla kelimeden oluşan uzun parola cümleleri (passphrase) teşvik edilir. Yeni belirlenen parolalar, bilinen sızmış parola listelerine (breached password) karşı kontrol edilir; bu listelerde yer alan veya kolay tahmin edilebilen parolaların kullanımına izin verilmez.
- Parolalar, ihlal şüphesi veya sızıntı tespitinde derhal değiştirilir; periyodik zorunlu değiştirme uygulanmaz. Bunun yerine yeterli parola uzunluğu ile birlikte, başta uzaktan erişim ve ayrıcalıklı hesaplar olmak üzere çok faktörlü kimlik doğrulama (MFA) zorunlu tutulur.
- Kullanıcının yenilediği şifreler önceki 5 şifre ile aynı olamaz.
- Sistemler, en fazla 5 hatalı giriş denemesinden sonra kullanıcı hesabını dondurur. Dondurulan hesaplar sistem yöneticisi müdahalesi ile açılır.
- Sistemlerde var olan tüm kullanıcı hesapları ve yetkileri en az yılda 1 kez gözden geçirilir.
- Şifreler yazılımların/sistemlerin içerisine gömülmez veya herhangi bir kişinin ulaşabileceği bir dosya halinde saklanmaz.
- Kullanıcı hesapları ve şifreler, sahiplerine kimlik yönetim sistemleri üzerinden otomatik olarak gönderilir.
- Sistemler, kullanıcıları ilk girişte şifre değişikliğine zorlar.
- Kimlik yönetim sisteminin mevcut olmadığı ya da kullanılamadığı durumlarda kullanıcı adı ve parolalar şifrelenerek ayrı e-postalar ile iletilir veya kapalı bir zarf ile elden teslim edilir.
- Bir şifre yönetim yazılımı mevcut değil ise, çok kullanıcılı yönetimsel hesapların şifreleri kapalı zarf yöntemi ile kasa içerisinde saklanır ve en az 6 ayda bir değiştirilir.
- Sistemler üzerindeki hesapların şifreleri veritabanlarında geri döndürülemez biçimde, tuzlanmış (salted) güncel parola özetleme algoritmaları (örn. Argon2, bcrypt) ile saklanır; parola verisine doğrudan erişim engellenir ve yönetim yalnızca uygulamanın yönetim arayüzünden yapılır.
İyi Uygulama Örnekleri
- Kullanıcılar; şifrelerini doğum tarihi, eşinin adı, çocuğunun adı gibi kolayca tahmin edilebilecek şekilde belirlememeleri, bunun yerine uzun parola cümleleri (passphrase) veya bir parola yöneticisi ile üretilmiş güçlü parolalar kullanmaları yönünde uyarılır.
- Kullanıcılar; şifrelerini kimseyle paylaşmamaları, yazılı olarak masaüstü, bilgisayar ekranı gibi herhangi bir yerde bulundurmamaları yönünde uyarılır.
- Şifre yönetim uygulaması kullanıldığı durumlarda, sistem üzerindeki şifreler uygulamanın arıza riskine karşı belirli aralıklarla çıktı olarak alınarak kasa pratiğine uygun olarak saklanabilir.
- Yanlış şifre girişi nedeniyle bloke olan hesapların şifrelerinin sistem yöneticisi (admin) müdahalesi olmadan sıfırlanabilmesi için kullanıcılara bir self servis portal oluşturulabilir.