Parola Güvenliğinin Temelleri
Hesaplarınıza yetkisiz erişim çoğunlukla zayıf parolalardan kaynaklanır. Bir parolanın güçlü sayılması için minimum 12 karakter uzunluğunda olması, büyük-küçük harf, rakam ve özel karakter içermesi gerekir. Brute force saldırıları günümüzde saniyede milyonlarca kombinasyon deneyebiliyor.
Güçlü Parola Kriterleri
Uzunluk ve Karmaşıklık Gereksinimleri
Parola uzunluğu güvenliğin en kritik faktörüdür. 8 karakterlik bir parola modern donanımlarla birkaç saatte kırılabilirken, 16 karakterlik bir parola yıllar alır. Minimum 12, ideal olarak 16-20 karakter kullanın.
Karakter çeşitliliği entropi düzeyini artırır. Büyük harfler (A-Z), küçük harfler (a-z), rakamlar (0-9) ve özel karakterler (!@#$%^&*) kombinasyonu kullanın. Ancak basit yer değiştirmeler (a yerine @, e yerine 3) artık etkili değil.
Kaçınılması Gereken Yapılar
Sözlük kelimelerini hiçbir şekilde kullanmayın. "password123", "admin2024", "ankara06" gibi öngörülebilir kombinasyonlar ilk denenen listeler arasında. Kişisel bilgileriniz (doğum tarihi, plaka, telefon numarası) da aynı şekilde riskli.
Ardışık karakterler ve tekrarlar parolayı zayıflatır. "123456", "qwerty", "aaaaaa" veya "111111" gibi dizilimler anlamsızdır. Klavye düzenindeki ardışık tuşlar da (asdfgh, zxcvbn) kolayca tahmin edilir.
Parola Entropisinin Hesaplanması
Entropi bit cinsinden ölçülür ve parolanın tahmin edilme zorluğunu gösterir. Formül: E = log2(R^L) - R karakter havuzu, L parola uzunluğu. 26 küçük harf kullanan 8 karakterlik parola: log2(26^8) = 37.6 bit entropi sağlar.
Güvenli kabul edilen minimum 60 bit entropidir. 95 karakterlik havuzdan (tüm ASCII karakterler) 12 karakterlik parola: log2(95^12) = 78.8 bit entropi verir. Ancak gerçek entropi kullanıcı davranışlarıyla düşer.
Parola Oluşturma Yöntemleri
Passphrase (Parola Cümlesi) Tekniği
Rastgele kelimelerden oluşan cümleler hem güçlü hem hatırlanabilir. Diceware yöntemi 7776 kelimelik listeden zar atarak seçim yapar. 6 kelimelik bir diceware cümlesi: "doğru at akü zımba kalem bulut" 77 bit entropi sağlar.
Kelimeler arasına özel karakter ve rakam ekleyin: "doğru#42at@akü&zımba$kalem!bulut". Türkçe karakter kullanmak bazı sistemlerde sorun çıkarabilir, ASCII ile sınırlı kalın. Kelime sayısını 7-8'e çıkarmak daha iyi.
Karakter Matrisi Yöntemi
Her servis için farklı parola oluşturmak üzere bir matris kullanabilirsiniz. Ana parolanız: "Kx9$mP2w!Lq7". Her servis için sonuna site kısaltması ekleyin: Gmail için "Kx9$mP2w!Lq7-GM", Twitter için "Kx9$mP2w!Lq7-TW".
Daha karmaşık bir varyasyon: Site adının ilk 2 harfini alın, ASCII değerlerini toplayın, sonucu parolanın ortasına yerleştirin. Bu yöntem tek bir ana parola sızarsa risk oluşturur.
Parola Üretici Araçlar
Linux komut satırından rastgele parola: openssl rand -base64 32 komutu 32 byte rastgele veri üretir. pwgen 20 1 -s -y komutu 20 karakterlik özel karakterli güçlü parola oluşturur.
KeePassXC'nin yerleşik üreteci: Tools > Generate Password menüsünden uzunluk, karakter setleri ve entropi seviyesini ayarlayabilirsiniz. Minimum 128 bit entropi hedefleyin. Bitwarden web arayüzü de benzer seçenekler sunar.
Parola Yöneticisi Kullanımı
Kurulum ve Ana Parola Belirleme
KeePassXC (Windows/Linux/Mac) veya Bitwarden (çapraz platform) kurun. Ana parolanız tüm diğer parolaları korur, bu nedenle 20+ karakter passphrase kullanın. Bu parolayı asla dijital ortamda saklamayın.
KeePassXC'de yeni veritabanı: Database > New Database > dosya konumu seçin > Ana parola girin > Encryption Settings'te Argon2id seçili olmalı, iterations minimum 10 olsun. Veritabanını bulut senkronizasyon klasörüne (ancak şifreli) koyabilirsiniz.
Parola Veritabanı Şifreleme Ayarları
Argon2id en güncel anahtar türetme fonksiyonudur. Ayarlar: 4 paralel thread, 1 GB bellek kullanımı, 10 iterasyon (2 saniye gecikme). PBKDF2-HMAC-SHA256 eski sistemler için alternatif ama 1,000,000 iterasyon kullanın.
KeePassXC'de: Database Settings > Security > Database Credentials > Key derivation function. Transform rounds değerini artırmak her açılışta gecikme yaratır ama brute force'u zorlaştırır. 2-3 saniye gecikme kabul edilebilir.
İki Faktörlü Kimlik Doğrulama Entegrasyonu
TOTP (Time-based One-Time Password) kodlarını parola yöneticinizde saklayabilirsiniz. KeePassXC'de bir girişe sağ tık > TOTP > Set up TOTP > QR kod veya secret key girin. 30 saniyede bir yeni kod üretilir.
Ancak parola ve 2FA'yı aynı yerde saklamak "tek başarısızlık noktası" yaratır. Kritik hesaplar için 2FA'yı ayrı bir cihazda (telefon, Yubikey) tutun. Bitwarden Authenticator ayrı uygulama olarak kullanılabilir.
Parola Değiştirme Stratejileri
Periyodik Değişim Gerekliliği
Otomatik periyodik değişim artık önerilmiyor. NIST SP 800-63B rehberi sadece sızınta şüphesinde değişim önerir. Sık değişim kullanıcıları zayıf parolalar üretmeye zorlar (Password1, Password2...).
Hesap güvenliği ihlal bildirimlerini takip edin. HaveIBeenPwned.com mail adresinizi kontrol edin. Firefox Monitor veya Google Password Checkup otomatik uyarı verir. Sızıntı tespitinde hemen değiştirin.
Acil Durum Parola Sıfırlama
Parola yöneticinizin ana parolasını kaybetme senaryosu için: Yazılı yedek mühürlü zarfta bankada kiralık kasada saklanabilir. Alternatif olarak Shamir's Secret Sharing ile parolayı 5 parçaya böl, 3'ü yeterli olsun, güvenilir kişilere dağıt.
Bitwarden'da Emergency Access özelliği: Settings > Emergency Access > Add emergency contact. Belirlenen süre sonunda (7-90 gün) kişi erişim kazanır. KeePassXC için böyle özellik yok, fiziksel yedek şart.
Kurumsal Parola Politikaları
Active Directory Parola Ayarları
Windows Server'da GPO ile parola politikası: Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy. Minimum uzunluk 14, karmaşıklık zorunlu, geçmiş 24 parolayı hatırla.
Fine-Grained Password Policy ile farklı gruplar için farklı kurallar: Active Directory Administrative Center > System > Password Settings Container > New > Password Settings. Yöneticiler için minimum 20 karakter, sıradan kullanıcılar için 14 karakter zorunlu kılın.
Parola Karalistesi Uygulama
Azure AD Password Protection şirket içi AD'ye kurulabilir. Yaygın parolaları (rockyou.txt listesi dahil) otomatik reddeder. Custom banned password listesine sektöre özel terimleri ekleyin: şirket adı, ürün isimleri, ortak jargon.
Linux sistemlerde PAM modülü: libpam-pwquality paketini kurun. /etc/security/pwquality.conf dosyasında minlen=14, dcredit=-1, ucredit=-1, ocredit=-1 ayarları karmaşıklığı zorlar. dictcheck=1 sözlük kontrolü aktifleştirir.
SSH Anahtar Tabanlı Kimlik Doğrulama
Sunucu erişimlerinde parola yerine SSH anahtarı kullanın. ssh-keygen -t ed25519 -a 100 komutu 100 iterasyonlu EdDSA anahtarı üretir. Özel anahtara passphrase ekleyin: ssh-keygen -p -f ~/.ssh/id_ed25519.
Sunucuda /etc/ssh/sshd_config düzenleyin: PasswordAuthentication no, PubkeyAuthentication yes, PermitRootLogin prohibit-password. Servis yeniden başlatın: systemctl restart sshd. Root hesabına genel anahtar ekleyin: ~/.ssh/authorized_keys.
Parola Saldırı Türleri ve Korunma
Brute Force ve Dictionary Saldırıları
Brute force tüm kombinasyonları dener. GPU tabanlı hashcat aracı saniyede 100 milyar MD5 hash kırabilir. RTX 4090 ile 8 karakterlik NTLM hash 5 saatte kırılır. Yavaş hash algoritmaları (bcrypt, Argon2) bu süreci yıllara çıkarır.
Dictionary attack bilinen kelimeleri dener. RockYou sızıntısından 14 milyon gerçek parola içeren liste yaygın kullanılır. Hibrit saldırı kelime + rakam/sembol ekler: "password" kelimesine 0-9999 arasında her sayıyı dener.
Credential Stuffing Koruması
Bir siteden çalınan kullanıcı adı-parola kombinasyonları başka sitelerde denenir. Her hesap için farklı parola kullanmak şart. Parola yöneticisi olmadan bu imkansız.
Web uygulamalarında rate limiting uygulayın: nginx ile limit_req_zone $binary_remote_addr zone=loginlimit:10m rate=3r/m; ayarı IP başına dakikada 3 login denemesi sınırlar. Fail2ban başarısız login sonrası IP'yi banlar: /etc/fail2ban/jail.local içinde maxretry = 3, bantime = 3600.
Rainbow Table Saldırılarından Korunma
Rainbow table önceden hesaplanmış hash'lerin arama tablosudur. Salt (rastgele veri) eklenerek hash eşsiz hale gelir. Her kullanıcı farklı salt almalı, minimum 16 byte.
PHP'de güvenli hash: password_hash($password, PASSWORD_ARGON2ID, ['memory_cost' => 65536, 'time_cost' => 4, 'threads' => 3]). Doğrulama: password_verify($input, $stored_hash). Asla MD5 veya SHA1 kullanmayın, bunlar kriptografik olarak kırılmış.
Çok Faktörlü Kimlik Doğrulama
TOTP Tabanlı 2FA Kurulumu
Google Authenticator, Authy veya Aegis uygulaması kurun. Serviste 2FA aktifleştirirken QR kodu tarayın. Yedek kodları (backup codes) güvenli yerde saklayın. Secret key'i manuel kaydederseniz başka cihazda aynı kodları üretebilirsiniz.
Secret key base32 formatındadır: JBSWY3DPEHPK3PXP. Bu bilgiyle başka uygulama yapılandırabilirsiniz. KeePassXC'de saklayabilirsiniz ama yukarıda belirtildiği gibi risk oluşturur. Telefon kaybında yedek kodlar veya secret key ile erişim sağlarsınız.
Hardware Token Kullanımı
YubiKey veya SoloKey gibi FIDO2/U2F cihazlar phishing'e karşı en güçlü koruma sağlar. Site alan adını kriptografik olarak doğrular, sahte sitede çalışmaz. Webauthn protokolü modern tarayıcılarda desteklenir.
YubiKey kurulumu: USB'ye takın, sitede Security Settings > Two-factor authentication > Security Key seçin, tuşa dokunun. Birden fazla anahtar kaydedebilirsiniz (yedek için). NFC özellikli modeller mobilde de çalışır.
SMS ve Email Tabanlı 2FA Riskleri
SMS 2FA SIM swapping saldırısına açıktır. Saldırgan sosyal mühendislikle telefon numaranızı başka SIM'e taşıttırır, SMS kodları ona gelir. Operatörler genellikle zayıf kimlik doğrulama yapıyor.
Email 2FA mail hesabı güvenliği kadar güçlüdür. Mail hesabınız zayıf parolalıysa veya 2FA'sız ise anlamsız. TOTP veya hardware token her zaman üstündür. Ancak hiç 2FA yokken bile SMS/email 2FA eklemek yüksek oranda saldırıyı önler.
Özel Senaryolar için Parola Stratejileri
Paylaşımlı Hesaplar için Çözümler
Ekip hesapları (Netflix, kurumsal sosyal medya) için parola paylaşımı risklidir. Bitwarden Organizations veya 1Password Teams özelliği belirli girdileri grupla paylaşır. İzinler kişiye göre ayarlanabilir (sadece görüntüle/düzenle).
KeePassXC ile paylaşım: Veritabanını Nextcloud/Syncthing ile senkronize edin. Her düzenleme tüm kullanıcılara yansır. Konflikt durumunda manuel birleştirme gerekir. Kişi ayrıldığında parolalar değiştirilmeli.
Çevrimdışı Sistemler ve Hava Boşluklu Ağlar
Internet bağlantısı olmayan kritik sistemlerde yazılı parola kabul edilebilir. Mühürlü zarf, iki kişili erişim (dual control), kamera kaydı gibi fiziksel güvenlik önlemleri alın. Parola minimum 20 karakter olmalı.
Alternatif: KeePassXC portable sürümü USB'de taşınır, senkronizasyon olmadan lokal kullanılır. Veritabanı dosyası şifreli, USB çalınsa bile açılamaz. USB şifreleme (VeraCrypt) ek koruma sağlar.
Legacy Sistemler ve Karakter Sınırlamaları
Eski sistemler bazen parola uzunluğunu 8-12 karakterle sınırlar veya özel karakter kabul etmez. Bu durumda maksimum uzunlukta, tüm izin verilen karakter setini kullanan rastgele parola oluşturun. Sistem izin veriyorsa büyük-küçük harf karışımı şart.
Mainframe sistemlerde (IBM z/OS) genellikle 8 karakter limit var. Büyük harf, rakam ve bazı özel karakterler (@, #, $) kabul edilir. Maksimum entropi için: K9$X#M2@ gibi tamamen rastgele kombinasyon. Bu sistemlere network erişimi sıkı kısıtlayın.
Parola Güvenliği İzleme ve Denetim
Düzenli Güvenlik Kontrolleri
HaveIBeenPwned API'si ile düzenli kontrol: curl https://api.pwnedpasswords.com/range/[hash-prefix] komutu parola hash'inin ilk 5 karakterini gönderir, eşleşen listesi döner. Tam parola paylaşılmaz (k-anonymity modeli).
Bitwarden Vault Health Report: Tools > Vault Health Reports menüsünde zayıf parolalar, tekrar kullanılanlar ve sızan parolalar listelenir. Her 3 ayda bir kontrol edin, kırmızıları acilen değiştirin. KeePassXC'de benzer rapor: Database > Database Reports > Password Quality.
Penetrasyon Testi ve Parola Cracking
Kendi organizasyonunuzun hash'lerini test etmek için hashcat kullanın. Önce hash tipini belirleyin: hashcat --help | grep NTLM. Saldırı: hashcat -m 1000 -a 3 hashes.txt ?a?a?a?a?a?a?a?a (8 karakterli brute force). Kırılan parolalar politika dışı demektir.
John the Ripper alternatif araç: john --wordlist=rockyou.txt --rules hashes.txt. Kelime listesi + kurallar (büyütme, rakam ekleme) kombinasyonu. Test sonuçlarını raporlayıp kullanıcıları bilgilendirin, zoraki değiştirme yapın.
Dikkat Edilmesi Gereken Kritik Noktalar
Parola yöneticisi ana parolasını unutursanız hesaplarınıza erişim tamamen kaybolur. Kurtarma yöntemi yoktur. Ana parolayı çok iyi seçin ve unutmayacağınızdan emin olun. İlk haftalarda sık giriş yaparak kasınıza yerleştirin.
Tarayıcı yerleşik parola yöneticileri (Chrome Password Manager, Firefox Lockwise) kullanışlıdır ama sınırlıdır. Master password zorunlu değil, işletim sistemi oturumu açıkken tüm parolalar erişilebilir. Kritik hesaplar için bağımsız parola yöneticisi tercih edin.
Public bilgisayarlarda (kütüphane, cafe) asla parolanızı kaydetmeyin. Oturum sonunda logout yapın, tarayıcıyı kapatın. Mümkünse Incognito/Private mode kullanın. Keylogger riski varsa ekran klavyesi kullanın ama bu da screen recorder'a karşı korumaz.
Parola sıfırlama bağlantıları (password reset link) genellikle mail adresinize gönderilir. Mail hesabınızın güvenliği tüm diğer hesaplarınızın anahtarıdır. Mail hesabı mutlaka en güçlü parola + hardware token 2FA ile korunmalı.
Çocuklar ve yaşlılar için parola yöneticisi kurulumu ve eğitimi şarttır. Basit, hatırlanabilir ama güçlü bir master passphrase seçmelerine yardım edin. İlk kurulumda yanlarında olun, veritabanı yedekleme prosedürünü gösterin.
Özet
Parola güvenliğinin temeli uzunluk, rastgelelik ve benzersizliktir. Minimum 12 karakter, ideal 16+ karakter kullanın. Her hesap için farklı parola zorunludur, bunun tek pratik yolu parola yöneticisi kullanmaktır.
İki faktörlü kimlik doğrulama modern güvenlik stratejisinin vazgeçilmezidir. TOTP uygulamaları veya hardware token tercih edin, SMS'i son çare olarak görün. Kritik hesaplarda (mail, banka, parola yöneticisi) mutlaka 2FA aktif olmalı.
Kurumsal ortamlarda parola politikalarını GPO veya PAM ile zorlayın, periyodik denetim yapın, sızan parolaları tespit edin. Hash'lerde mutlaka salt kullanın ve Argon2id gibi modern KDF tercih edin. Eski MD5/SHA1 sistemleri acilen güncelleyin.
Son olarak parola güvenliği tek seferlik bir iş değil, sürekli uyanıklık gerektirir. Sızıntı bildirimlerini takip edin, düzenli denetim yapın, teknolojik gelişmeleri izleyin. Quantum bilgisayar tehdidine karşı post-quantum kriptografi geçişini planlayın.
Sıkça Sorulan Sorular
Parola yöneticisinin kendisi hacklense ne olur?
LastPass 2022 sızıntısında master password hash'leri ve şifreli vault'lar çalındı. Güçlü master password kullanan kullanıcılar güvende kaldı, zayıf parola kullananlar risk altında. Zero-knowledge mimarisi sayesinde şirket bile parolalarınızı göremez. Open-source KeePassXC veya Bitwarden gibi denetlenmiş araçları tercih edin, ana parolayı 20+ karakter yapın.
Aynı parolayı kaç hesapta kullanabilirim?
Hiçbir hesapta tekrar kullanmayın. Tek bir site sızarsa tüm hesaplarınız riske girer. "Önemsiz" diye düşündüğünüz hesap bile şifre sıfırlama veya sosyal mühendislik için kullanılabilir. Parola yöneticisi binlerce benzersiz parola yönetebilir, hiçbir mazeret yok.
Parola ne sıklıkla değiştirilmeli?
Sızınta olmadıkça değiştirmenize gerek yok. NIST SP 800-63B güncel rehberi otomatik periyodik değişimi önermez. HaveIBeenPwned'de hesabınızı sızıntı bildirimi için kaydettirin, uyarı gelirse hemen değiştirin. Zayıf bir parolayı hemen değiştirin, güçlü olanı yıllarca kullanabilirsiniz.
Telefon kaybında 2FA kodlarına nasıl erişirim?
TOTP uygulamasının yedekleme özelliğini kullanın. Authy otomatik bulut yedeği yapar (şifreli), Aegis manuel şifreli yedek dışa aktarır. Secret key'i (QR kod altındaki base32 string) not alırsanız başka cihazda aynı kodları üretebilirsiniz. Servislerin verdiği backup code'ları güvenli yerde saklayın.
Şirket bilgisayarında kişisel parola yöneticisi kullanılabilir mi?
IT politikasına bağlı, genellikle sorun olmaz. Ancak yönetici yetkisiyle şirket tüm veriyi görebilir. KeePassXC portable sürümü USB'de çalışır, bilgisayara kurulum gerektirmez. Kritik kişisel parolaları (banka, mail) şirket cihazında girmekten kaçının. İdealinde iş ve kişisel için ayrı parola yöneticisi veritabanları kullanın.
0 Yorum
Yorum Yaz