GÜV.09 — Şifre Standartları

Güvenlik Yönetimi IT Standartları · Türkçe

Açıklama

Şirket BT sistemleri için geçerli olan şifre politikası bu standart içerisinde tanımlanmıştır. Şifre standartları, uygulanması zorunlu olan minimum kriterleri belirler.

Standartlar

  1. Şifreler en az 12 karakterden oluşur; kolay hatırlanan, birden fazla kelimeden oluşan uzun parola cümleleri (passphrase) teşvik edilir. Yeni belirlenen parolalar, bilinen sızmış parola listelerine (breached password) karşı kontrol edilir; bu listelerde yer alan veya kolay tahmin edilebilen parolaların kullanımına izin verilmez.
  2. Parolalar, ihlal şüphesi veya sızıntı tespitinde derhal değiştirilir; periyodik zorunlu değiştirme uygulanmaz. Bunun yerine yeterli parola uzunluğu ile birlikte, başta uzaktan erişim ve ayrıcalıklı hesaplar olmak üzere çok faktörlü kimlik doğrulama (MFA) zorunlu tutulur.
  3. Kullanıcının yenilediği şifreler önceki 5 şifre ile aynı olamaz.
  4. Sistemler, en fazla 5 hatalı giriş denemesinden sonra kullanıcı hesabını dondurur. Dondurulan hesaplar sistem yöneticisi müdahalesi ile açılır.
  5. Sistemlerde var olan tüm kullanıcı hesapları ve yetkileri en az yılda 1 kez gözden geçirilir.
  6. Şifreler yazılımların/sistemlerin içerisine gömülmez veya herhangi bir kişinin ulaşabileceği bir dosya halinde saklanmaz.
  7. Kullanıcı hesapları ve şifreler, sahiplerine kimlik yönetim sistemleri üzerinden otomatik olarak gönderilir.
  8. Sistemler, kullanıcıları ilk girişte şifre değişikliğine zorlar.
  9. Kimlik yönetim sisteminin mevcut olmadığı ya da kullanılamadığı durumlarda kullanıcı adı ve parolalar şifrelenerek ayrı e-postalar ile iletilir veya kapalı bir zarf ile elden teslim edilir.
  10. Bir şifre yönetim yazılımı mevcut değil ise, çok kullanıcılı yönetimsel hesapların şifreleri kapalı zarf yöntemi ile kasa içerisinde saklanır ve en az 6 ayda bir değiştirilir.
  11. Sistemler üzerindeki hesapların şifreleri veritabanlarında geri döndürülemez biçimde, tuzlanmış (salted) güncel parola özetleme algoritmaları (örn. Argon2, bcrypt) ile saklanır; parola verisine doğrudan erişim engellenir ve yönetim yalnızca uygulamanın yönetim arayüzünden yapılır.

İyi Uygulama Örnekleri

  1. Kullanıcılar; şifrelerini doğum tarihi, eşinin adı, çocuğunun adı gibi kolayca tahmin edilebilecek şekilde belirlememeleri, bunun yerine uzun parola cümleleri (passphrase) veya bir parola yöneticisi ile üretilmiş güçlü parolalar kullanmaları yönünde uyarılır.
  2. Kullanıcılar; şifrelerini kimseyle paylaşmamaları, yazılı olarak masaüstü, bilgisayar ekranı gibi herhangi bir yerde bulundurmamaları yönünde uyarılır.
  3. Şifre yönetim uygulaması kullanıldığı durumlarda, sistem üzerindeki şifreler uygulamanın arıza riskine karşı belirli aralıklarla çıktı olarak alınarak kasa pratiğine uygun olarak saklanabilir.
  4. Yanlış şifre girişi nedeniyle bloke olan hesapların şifrelerinin sistem yöneticisi (admin) müdahalesi olmadan sıfırlanabilmesi için kullanıcılara bir self servis portal oluşturulabilir.

← Tüm IT Standartları