Organizasyonlarda en yaygın güvenlik zafiyetlerinden biri, maximum password age politikasının uygun şekilde yapılandırılmamasıdır. Kullanıcıların aynı parolayı uzun süre kullanması, siber saldırganlar için değerli fırsatlar yaratır.

Parola Yaşlandırma ve Güvenlik Riskleri

Organizasyonlarda en yaygın güvenlik zafiyetlerinden biri, maximum password age politikasının uygun şekilde yapılandırılmamasıdır. Kullanıcıların aynı parolayı uzun süre kullanması, siber saldırganlar için değerli fırsatlar yaratır.

Modern güvenlik standartları, parolaların 45 gün veya daha kısa aralıklarla değiştirilmesini önerir. Bu yazıda, password age politikasının önemini, güvenlik risklerini ve etkili çözüm yöntemlerini detaylı olarak inceleyeceğiz.

Maximum Password Age Nedir?

Maximum Password Age, bir parolanın maksimum ne kadar süre kullanılabileceğini belirleyen güvenlik politikasıdır. Bu ayar, kullanıcıları belirli aralıklarla parola değiştirmeye zorlar ve böylece uzun süreli parola kullanımından kaynaklanan güvenlik risklerini azaltır.

Password Policy Bileşenleri

Core Password Policies

• Maximum Password Age: Parolanın maksimum kullanım süresi (önerilen: 45 gün)

• Minimum Password Age: Parolanın minimum kullanım süresi (önerilen: 1 gün)

• Password History: Hatırlanan eski parola sayısı (önerilen: 12–24)

• Minimum Password Length: Minimum parola uzunluğu (önerilen: 14+ karakter)

• Password Complexity: Karmaşıklık gereksinimleri

Password Age Timeline

Gün 0        Gün 45        Gün 50        Gün 60
│            │             │             │
│◄───────────┴─────────────┴─────────────┤
│
New Password   Warning Period   Grace Period   Account Disabled

Güvenlik Riskleri ve Saldırı Vektörleri

1. Prolonged Exposure Risk

Extended Attack Window

Uzun süre aynı parola kullanımı şu riskleri artırır:

• Brute force saldırılarına daha fazla zaman tanır

• Password spraying saldırılarının başarı oranını artırır

• Social engineering ile elde edilen parolaların uzun süre geçerli kalması

• Credential stuffing saldırılarında kullanılabilir durumda kalması

Statistical Risk Analysis

Risk = Base_Risk × Time_Factor × Exposure_Factor

Base_Risk = 0.1
Time_Factor = Days_Since_Change / 45
Exposure_Factor = Usage_Frequency × System_Criticality

Örnek:
180 gün eski parola

Risk = 0.1 × (180/45) × 1.5 = 0.6  (%60 risk)

2. Credential Harvesting Impact

Data Breach Scenarios

• Phishing saldırıları ile elde edilen parolalar uzun süre kullanılabilir

• Keylogger malware ile çalınan parolalar değerini korur

• Network sniffing ile yakalanan hash’ler uzun süre geçerli kalır

• Insider threat senaryolarında parolalar uzun süre bilinir

Örnek Saldırı Timeline

• Gün 1: Phishing ile parola çalınır

• Gün 30: Gizli erişim sağlanır

• Gün 60: Lateral movement başlar

• Gün 90: Data exfiltration

• Gün 120: Saldırı tespit edilir

Not: Parola 45 günde değişseydi saldırı erken kesilirdi.

3. Advanced Persistent Threat (APT) Facilitation

• Uzun süreli erişim korunur

• Çalınan credential’lar uzun süre geçerli kalır

• Backdoor hesaplar fark edilmeden kullanılabilir

• Dormant erişimler uzun süre aktif kalır

4. Password Reuse and Predictability

Human Password Behavior

$comm
    "Password1", "Password2", "Password3",
    "Company2023!", "Company2024!", "Company2025!",
    "Summer2024", "Autumn2024", "Winter2024"
)

Bu kalıplar yüksek tahmin edilebilirlik riski oluşturur.

Çözüm Yöntemleri

1. Group Policy (GPO) ile Yapılandırma

Yol:

Computer Configuration
→ Windows Settings
→ Security Settings
→ Account Policies
→ Password Policy

Önerilen Konfigürasyon

• Maximum Password Age: 45 days

• Minimum Password Age: 1 day

• Minimum Password Length: 14 characters

• Password History: 24

• Password Complexity: Enabled

• Reversible Encryption: Disabled

PowerShell ile GPO Yapılandırması

Set-ADDefaultDomainPasswordPolicy `
 -MaxPasswordAge "45.00:00:00" `
 -MinPasswordAge "1.00:00:00" `
 -PasswordHistoryCount 24 `
 -MinPasswordLength 14 `
 -ComplexityEnabled $true

2. Fine-Grained Password Policy (FGPP)

VIP Users

Max Age: 30 gün
Min Length: 16
History: 36

Service Accounts

Max Age: 365 gün
Min Length: 20

Regular Users

Max Age: 45 gün
Min Length: 14

3. Password Policy Tablosu

Gelişmiş Parola Yönetimi Stratejileri

• Risk-based adaptive password aging

• Behavioral analytics entegrasyonu

• Machine learning ile parola trend analizi

Monitoring ve Automation

Password Expiration Alerts

• 7 gün önceden uyarı

• Otomatik e-posta bildirimleri

• Günlük scheduled task

Compliance Reporting

• Haftalık JSON / CSV raporları

• Default + FGPP uyumluluk analizi

User Experience Optimization

Self-Service Password Reset (SSPR)

• Çok faktörlü doğrulama

• Helpdesk yükünü azaltma

• Kullanıcı memnuniyetini artırma

Security Validation ve Testing

• Password age audit raporları

• Kritik / Warning / Compliant sınıflandırması

• Simüle saldırı senaryoları

İleri Seviye Güvenlik Stratejileri

• Zero Trust Password Model

• Continuous Authentication

• Azure AD Hybrid entegrasyonu

• Conditional Access politikaları

Sonuç ve Öneriler

Maximum password age politikasının 45 gün olarak ayarlanması, modern güvenlik standartlarına uygun kritik bir gereksinimdir. Bu yapılandırma, uzun süreli parola kullanımından kaynaklanan riskleri ciddi biçimde azaltır ve organizasyonun genel güvenlik seviyesini yükseltir.

Hızlı Uygulama Rehberi

✅ Mevcut password age ayarlarını audit edin
✅ Default domain policy’yi 45 gün olarak ayarlayın
✅ FGPP ile kullanıcı bazlı politikalar tanımlayın
✅ Automated monitoring & alerting kurun
✅ SSPR özelliğini aktifleştirin
✅ User education programı başlatın

Kritik Kontrol Listesi

✅ Maximum password age ≤ 45 gün mü?
✅ Risk bazlı policy’ler tanımlı mı?
✅ Expiration alert’leri aktif mi?
✅ SSPR yapılandırıldı mı?
✅ Compliance monitoring otomatik mi?
✅ Kullanıcı eğitimi tamamlandı mı?

Modern Güvenlik Yaklaşımları

• Risk-based adaptive password aging

• Behavioral analytics

• Zero Trust & Continuous Authentication

• MFA zorunluluğu

• Passwordless alternatifler