Site Overlay

Password Policy

By Arif Akyüz

Parola Politikası

cropped 2
arifakyuz

Güçlü bir parola politikası nasıl olmalıdır?

1. Son kullanıcılar için parola uzunluğu en az 10 karakterden oluşmalı.
2. Admin (yönetici) hesapları için parola uzunluğu en az 14 karakterden oluşmalı.
3. Sistem ve Servis hesapları için parola uzunluğu en az 20 karakterden oluşmalıdır.

4. Parola karakterleri en az bir tanesi sayılardan, bir
tanesi büyük harf bir tanesi de küçük harften oluşmalıdır.
• Aşağıdaki karakterlerin en az üçünü içermelidir;
• Büyük harf, (örn. ABCDEFG…)
• Küçük harf, (örn, abcdefg…)
• Rakam, (örn: 1234567890)
• Noktalama işareti, (örn: !?., vb.)
• Özel karakterler (Örn: @#$%^&*()_+|~-=\`{}[]:”;'<>/ vb.)

5. İçeriğinde, kişisel bilgiler bulunmamalıdır
• Aile bireylerinin isimleri, Şirket adı, doğum tarihleri,
telefon numarası veya adres bilgileri gibi
• Kelime veya rakam dizileri kullanılmamalıdır. (Örn; aaabbb, qwerty, zyxwvuts, 12345678,
123321, vb.)

6. Bütün sistem seviyesinde kullanılan parolalar (örnek: root, administrator, enable vb.) en geç 90 günde bir değiştirilmelidir.
• Bütün kullanıcı seviyeli parolalar (örnek: e-posta, web, masaüstü bilgisayar, uygulamalar vb.) en geç 90 günde bir değiştirilmelidir.
• Sistem yöneticileri her sistem için farklı parolaları kullanmalıdır.
• Parolalar e-posta iletilerine veya herhangi bir elektronik forma eklenmemelidir.
• Parolalar herhangi bir yerde not edilerek saklanmamalıdır.
• Parolalar güçlü (örnek: parola uzunluğu, karakter çeşitliliği, sözlük dışı ifadeler gibi) sayılabilecek
nitelikle özellikleri barındırmalıdır.
• Kurum çalışanı olmayan harici kişiler için açılan kullanıcı hesaplarının parolaları da kolayca
kırılamayacak güçlü bir yapıya sahip olmalıdır.

7. Parola Oluşturmada Dikkat Edilecek Noktalar
Parolalar aşağıda detayları verilen “zayıf parola” yapısından uzak olmalı ve “güçlü parola” yapısına uygun olmalıdır.

Zayıf Parolalar
Zayıf parolalar aşağıdaki karakteristiklere sahip olup kullanıcılar bu tip özelliklerden parola seçiminden
kaçınmalıdır.
● Parolalar 6 veya daha az karaktere sahiptirler.
● Parolalar aşağıdaki gibi ortak değere sahiptir.
● Harf ve rakamlardan karmaşık oluşmayan
● Sözcükte geçen kelimelerden oluşturulan
● Bilgisayar terminolojisi vb. isimleri: komutlar, siteler, şirketler, donanım, yazılım vb.
● ”Arif”, ”İstanbul”, ”ankara” gibi özel isimler.
● Doğum tarihi, adres ve telefon numaraları gibi kişisel bilgiler.
● Aaabbb, qwerty,zyxwuts, 123321 vs. gibi sıralı harf veya rakamlar.
● Yukardaki herhangi bir kelimenin geri yazılış şekli.
● Yukarıdaki herhangi bir kelimenin rakamla takip edilmesi (örnek, gizli1, gizli2).

8. Güçlü parolalar aşağıdaki karakteristiklere sahip olup kullanıcılar bu tip parola kurallarını uygulamalıdır:
● Hem küçük hem de büyük karakterlere sahiptir (örnek, a-z, A-Z) ● Hem sayısal hem de noktalama karakterleri gizi özel karakterlere sahiptir. (0-9, !@#$%^&*()_+|~- =\`{}[]:”;'<>?,./) c) Sözlük isimleri gibi kelime bilgilerine ait olmamalıdır. d) Parolalar herhangi bir yere yazılmamalıdır veya elektronik ortamda tutulmamalıdır. Karmaşık parolaları seçerken, herhangi bir yere yazmadan kolayca hatırlanabilen parolalar oluşturulmalıdır. Örnek olarak; ”Birinci kalite hedefimiz, müşteri memnuniyetinin sağlanmasıdır!” cümlesindeki gibi ”1Kh,MmS!” veya türevleri şeklinde olabilir. e) Kurum içinde kullanılması zorunlu olan şifre politikası minimum 8 karakterden oluşan en az bir büyük harf, en az bir küçük harf ve en az bir sayı karakteri barındıran parolalardır.
Uyarı: Yukarıdaki herhangi bir örneği şifre olarak kullanmayınız.

9. Parolaların Korunması Bütün kullanıcılar aşağıdaki kurallara titizlikle uymalıdır.
● Kurum bünyesinde kullanılan parolalar, kurum dışında herhangi bir şekilde kullanılmamalıdır.
(örnek: internet erişim parolaları, bankacılık işlemlerinde veya diğer yerlerde).
● Değişik sistemler için farklı parolalar kullanılmalıdır. Örnek: Unix sistemler için farklı parolalar,
Windows sistemler için farklı parolalar.
● Kurum bünyesinde kullanılan parolalar hiç kimseyle paylaşılmamalıdır. Bütün parolalar kurum ait
özel bilgiler olarak düşünülmelidir.
● Hiç bir kişiye kendisine ait parolayı sözlü veya yazılı telefonla paylaşmamalıdır.
● Üst yönetici dahil hiç kimseye parola söylenmemelidir.
● Başkaları önünde parolalar hakkında konuşulmamalıdır.
● Aile bireylerine ait isimler parola olarak kullanılmamalıdır.
● Herhangi form üzerinde parola belirtilmemelidir.
● Parolalar aile bireyleri ile paylaşılmamalıdır.
● Parolalar, işten uzakta olunan zamanlarda iş arkadaşlarına söylenmemelidir.
● Uygulamalardaki “parola hatırlatma” özellikleri parola olarak seçilmemelidir. (örnek: Outlook,
Internet Explorer vs.)