Tüzük İdari Yapı Bildirimler
Üyelik İşlemleri Belgeler İrtibat
 
CitrixShareFile parola sıfırlama ve 2FA sistemine geçiş sürecine dair notlar
Ana Sayfa
Tüzük
Mevzuat
İdari Yapı
Faaliyetler
Bildirimler
Basın
Üyelik İşlemleri
İrtibat

Belgeler
@bg.org.tr E-Posta Girisi

 
Sertifika Dogrulama


 
 
  ANA SAYFA > Haberler

CitrixShareFile parola sıfırlama ve 2FA sistemine geçiş sürecine dair notlar

Citrix Systems , 2FA (2 Faktörülü Kimlik Doğrulama) sistemine geçiş sürecine ShareFile uzantısından başlamış görünüyor. Kullanıcılar ShareFire’ye erişmeye çalıştığında oturumlarının sıfırlandığını gördü ve ShareFile bunu birden fazla Web sitesindeki parolaları yeniden kullanan kişileri hedefleyen parola tahmin saldırılarına (Brute Force Attacks) yanıt olarak yapacağı konusunda kullanıcılara bilgi verdi.
Fakat bu durumun ani bir gelişme ile yaşanması ve ShareFile kullanıcılarına gönderilen bildirim mesajının içeriği kullanıcıları şüphelendirmiş görünüyor.

“ There has been a constant increase in internet-account credential (usernames and passwords) theft. Tohe same credentials are often used to Access other accounts. In response to this, we are requiring a password reset and will be incorporating a regularly-scheduled, forced password reset into our normal operating procedures. Users winn need to reset their passwords when logging into ShareFile. We believe this is an important step to continue to help our customers use our solutions securely.

To reset your password, please click here.

For help about how to reset  your password, please click here. “

Yukarıda ki mesajı tüm kullanıcılarına duyuran CitrixShareFile bu duyurudan sonra ve hesaplarda zorunlu şifre güncellemesinin hemen ardından bir çok kullanıcının “Acaba hacklendi mi?” sorusuna maruz kaldı.

Konuya ilişkin Sözcü  Jamie Buranich, “Bu, Citrix ürünlerinin veya hizmetlerinin ihlaline cevap olarak değil” diye yazdı . “Amacımız müşterilerimiz için riski en aza indirmek oldu. Daha sıkı kimlik doğrulama denetimleri kullanan hesaplarda parola sıfırlamaya zorlamadık. Citrix ayrıca, riski önemli ölçüde azaltan ortak SSO çözümleriyle doğrudan entegre olur. ” diye bir açıklama yaptı.

Yalnız bir püf noktasıda şirketin düzenli olarak parola sıfırlama yönergesini neden kullandığına dair soruları cevapsız bırakması oldu. Bu durumda CitrixShareFile kullanıcıların güvenli erişimine olanak sağlıyor mu sorusu merak edilmeye başlandı.

Aynı zamanda Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)  parola sıfırlama konusunda bir kişinin parolasının deşifre olması halinde tüm kişilerin şifrelerinin sıfırlanması mantığında hareket ettiğine dayanarak Citrix e bir saldırı girişimi olabileceği de söz konusu. 

NIST’in zorunlu şifre sıfırlamaya dair yönergesinden bir alıntı;

 “Kullanıcılar yakın gelecekte onları değiştirmek zorunda kalacaklarını bilerek daha zayıf ezberlenmiş sırları tercih etme eğilimindedirler. Bu değişiklikler gerçekleştiğinde, genellikle şifrede bir sayıyı arttırmak gibi bir dizi ortak dönüşüm uygulayarak eski ezberlenmiş sırlarına benzeyen bir sır seçerler. Saldırganlar aynı ortak dönüşümleri uygulayabildiğinden, bu uygulama, önceki sırlardan herhangi biri tehlikeye atılmışsa yanlış bir güvenlik duygusu sağlar. ”

“Ancak, eğer şifrelenmiş bir sırrın ele geçirilmiş olduğuna dair bir kanıt varsa, örneğin, veri tabanının karma şifresi veritabanının ihlali ya da hileli faaliyet gözlemlediyse, abonelerin ezberlenmiş sırlarını değiştirmeleri gerekir. Bununla birlikte, bu olaya dayalı değişim nadiren gerçekleşmelidir, böylece sınırlı bir süre için kullanılacağı bilgisi ile zayıf bir sırrı seçmek için daha az motive olurlar. ”

Özetle kullanıcıları şüphelendiren bu değişimde ideal/olağan bir uyarı aldığını düşündüğümüz ShareFile kullanıcılarına bir sonraki uyarılara hazırlıklı olarak güncel parola kullanmalarını tavsiye edilir. Yakın süreçte 2FA gidişatında; yeni bir parola sıfırlama olayı yaşanırsa şirketin hacklenebileceği veya belirli DB’lerin ele geçirildiği üzerine varsayım yapılabilir.

                                                                                                   Bahtiyar PALTACI



bg.org.tr • [email protected]