Tarayıcı Şifre Yönetimi Nedir?
Modern web tarayıcıları, kullanıcı adı ve şifre bilgilerini yerel olarak veya senkronize şekilde saklar. Bu özellik pratiklik sağlar ancak güvenlik riskleri taşır. Bilgisayarına fiziksel erişimi olan herkes, doğru adımları biliyorsa kayıtlı şifreleri görüntüleyebilir.
Tarayıcılar Şifreleri Nasıl Saklar?
Chrome ve Chromium Tabanlı Tarayıcılar
Chrome, şifreleri Windows'ta DPAPI (Data Protection API) ile, macOS'ta Keychain ile, Linux'ta sistem anahtarlığı veya düz metin olarak saklar. Şifreler SQLite veritabanında tutulur ve master password olmadığı sürece sistem kullanıcısı bunlara erişebilir.
Veritabanı dosyası Windows'ta %LocalAppData%\Google\Chrome\User Data\Default\Login Data konumundadır. Bu dosyayı SQLite araçlarıyla açıp inceleyebilirsiniz ancak şifreler şifrelenmiş halde görünür.
Firefox Şifre Saklama Mekanizması
Firefox, logins.json dosyasında şifreleri tutar. Windows'ta %AppData%\Mozilla\Firefox\Profiles\ klasöründe rastgele isimli profil klasörü içinde bulunur. Ana şifre ayarlanmadıysa key4.db dosyasıyla birlikte şifreler deşifre edilebilir.
Ana şifre özelliği Firefox'ta varsayılan olarak kapalıdır. Açmadıysanız şifreler sadece obfuscation ile korunur, gerçek şifreleme yoktur.
Safari ve Edge
Safari şifreleri macOS Keychain'e entegre eder. Edge, Chromium tabanlı olduğu için Chrome'a benzer şekilde çalışır. Microsoft hesabıyla senkronizasyon açıksa şifreler bulutta da saklanır.
Chrome'da Kayıtlı Şifreleri Görüntüleme
Grafik Arayüz Üzerinden
Chrome'u açıp adres çubuğuna chrome://settings/passwords yazın. Alternatif olarak: sağ üst üç nokta > Ayarlar > Otomatik Doldurma > Şifreler menüsüne gidin.
Kayıtlı şifrelerin listesini görürsünüz. Her girişin yanındaki göz ikonuna tıklayınca Windows kullanıcı şifresi veya PIN sorulur. Doğru girdiğinizde şifre açık metin olarak görünür.
CSV Olarak Dışa Aktarma
Şifreler sayfasında üç nokta menüsünü açın. "Şifreleri dışa aktar" seçeneğini seçin. Sistem kimlik doğrulaması yapın. Şifreler düz metin CSV dosyası olarak kaydedilir.
CSV dosyası hassas bilgi içerir. İşiniz bitince güvenli şekilde silin, çöp kutusundan kalıcı olarak kaldırın.
Komut Satırından Erişim
Python ve Chromium şifre kütüphaneleri kullanarak otomatik çıkarma yapabilirsiniz. pycryptodome ve pywin32 kütüphaneleri Windows'ta DPAPI şifresini çözebilir.
import sqlite3
import win32crypt
import os
db_path = os.path.expandvars(r'%LocalAppData%\Google\Chrome\User Data\Default\Login Data')
conn = sqlite3.connect(db_path)
cursor = conn.cursor()
cursor.execute('SELECT origin_url, username_value, password_value FROM logins')
for row in cursor.fetchall():
password = win32crypt.CryptUnprotectData(row[2])[1].decode()
print(f"{row[0]} - {row[1]} - {password}")Firefox'ta Kayıtlı Şifreleri Görüntüleme
Ayarlar Menüsü Üzerinden
Adres çubuğuna about:preferences#privacy yazın. Sayfada aşağı kaydırıp "Hesap Adları ve Şifreler" bölümüne gidin. "Kayıtlı hesap adları..." butonuna tıklayın.
Açılan pencerede tüm kayıtlı şifreler listelenir. "Şifreleri Göster" butonuna basınca onay istenir. Ana şifre yoksa direkt gösterir, varsa ana şifreyi girmeniz gerekir.
Firefox Ana Şifre Kontrolü
Ana şifre ayarlıysa şifreleri görüntülemek için bunu bilmeniz şart. Ana şifreyi unuttuysanız sıfırlayabilirsiniz ancak tüm kayıtlı şifreler silinir.
Ana şifre sıfırlama: about:preferences#privacy > Hesap Adları ve Şifreler > Ana Şifre > Değiştir. Eski şifreyi bilmiyorsanız "Sıfırla" seçeneği görünür.
JSON Dosyasını Okuma
Profil klasöründeki logins.json dosyasını metin editörüyle açabilirsiniz. Şifreler base64 formatında gösterilir ancak key4.db olmadan deşifre edemezsiniz.
Edge'de Şifre Yönetimi
Edge ayarlarına edge://settings/passwords yazarak gidin. Arayüz Chrome'a benzer. Şifre görüntüleme ve dışa aktarma işlemleri aynı şekilde çalışır.
Microsoft hesabınızla oturum açtıysanız şifreler account.microsoft.com adresinde de görünür. Web arayüzünden de yönetebilirsiniz.
Safari'de Şifreleri Yönetme
macOS'ta Safari > Tercihler > Şifreler menüsüne gidin. Kullanıcı şifresi veya Touch ID ile kimlik doğrulama yapın. Şifreler listelenir ve düzenlenebilir.
iOS'ta Ayarlar > Şifreler bölümü tüm Safari ve uygulama şifrelerini gösterir. Face ID veya Touch ID gereklidir.
Tarayıcıdan Şifreleri Silme
Tekil Şifre Silme
Chrome/Edge: Şifreler sayfasında silinecek girdinin yanındaki üç nokta > Kaldır. Firefox: Kayıtlı hesap adları penceresinde girdiyi seçip Kaldır butonuna basın.
Toplu Şifre Silme
Chrome: chrome://settings/clearBrowserData adresine gidin. "Gelişmiş" sekmesinde "Şifreler" seçeneğini işaretleyin, zaman aralığını "Tüm zamanlar" yapın. "Verileri temizle" butonuna tıklayın.
Firefox: about:preferences#privacy > Geçmiş bölümünde "Geçmişi temizle" seçin. "Kayıtlı hesap adları" kutucuğunu işaretleyin ve temizleyin.
Profil Silme
Tüm tarayıcı verilerini silmek için profil klasörünü manuel silin. Chrome'da %LocalAppData%\Google\Chrome\User Data\Default klasörünü, Firefox'ta profiles klasöründeki profil dizinini silin.
Güvenlik Riskleri ve Önlemler
Fiziksel Erişim Riski
Bilgisayarınıza erişen biri Windows şifrenizi biliyorsa veya otomatik girişe ayarlıysa tüm tarayıcı şifrelerinize ulaşabilir. İşletim sistemi kullanıcı hesabınızı şifre korumaya alın.
Paylaşımlı bilgisayarlarda tarayıcı şifre kaydetme özelliğini kapatın. Her seferinde manuel giriş yapın veya üçüncü parti şifre yöneticisi kullanın.
Kötü Amaçlı Yazılım Tehdidi
Password stealer malware'ler tarayıcı şifre veritabanlarını hedef alır. Bu yazılımlar SQLite dosyalarını okuyup şifreli verileri uzak sunucuya gönderir, orada deşifre edilir.
Güncel antivirüs yazılımı kullanın. Bilinmeyen kaynaklardan program indirip çalıştırmayın. Windows Defender yeterli koruma sağlar.
Senkronizasyon Güvenliği
Tarayıcı senkronizasyonu şifreleri buluta yükler. Google hesabınız ele geçirilirse şifreleriniz riske girer. İki faktörlü kimlik doğrulamayı mutlaka açın.
Chrome'da chrome://settings/syncSetup adresinden şifre senkronizasyonunu kapatabilirsiniz. Sadece yer işaretleri ve ayarları senkronize edin.
Alternatif Şifre Yöneticileri
Bağımsız Şifre Yöneticisi Avantajları
Bitwarden, 1Password, KeePass gibi araçlar master password ile şifreleme yapar. Tarayıcıdan bağımsız çalışırlar ve daha güvenli enkripsiyon kullanırlar.
Bu araçlar şifre üreteci, güvenli not saklama, dosya ekleme gibi ek özellikler sunar. Tarayıcı uzantısı ile otomatik doldurma yapabilirler.
KeePass Kullanımı
KeePass açık kaynaklı ve ücretsizdir. Şifreleri .kdbx dosyasında AES-256 ile şifreler. Dosyayı istediğiniz yerde saklayabilir, bulut senkronizasyonunu manuel yapabilirsiniz.
KeePass veritabanı için güçlü bir master password ve opsiyonel key file kullanın. Key file USB bellekte tutulursa çift faktörlü koruma sağlar.
Tarayıcıdan Şifre Yöneticisine Geçiş
Chrome'dan CSV dışa aktarın. Bitwarden veya KeePass'e bu CSV'yi içe aktarın. İçe aktarma sonrası CSV dosyasını güvenli şekilde silin, geri kurtarılamaz hale getirin.
Tarayıcı şifre kaydetme özelliğini kapatın: Chrome'da chrome://settings/passwords sayfasında "Şifreleri kaydetmeyi öner" seçeneğini kapatın.
Şifre Güvenliği En İyi Uygulamaları
Güçlü Şifre Oluşturma
Her site için farklı şifre kullanın. Minimum 16 karakter, büyük-küçük harf, rakam ve sembol karışımı yapın. Kelime kombinasyonları yerine rastgele karakter dizileri tercih edin.
Şifre üreteci kullanın. Tarayıcı veya şifre yöneticisi otomatik güçlü şifre önerir. Özel karakterler sorun çıkarıyorsa sadece harf-rakam karışımı 20+ karakter kullanın.
İki Faktörlü Kimlik Doğrulama
Şifreniz sızdığında bile 2FA hesabı korur. Authenticator uygulaması (Google Authenticator, Authy) veya fiziksel güvenlik anahtarı (YubiKey) kullanın. SMS tabanlı 2FA en zayıf seçenektir.
Düzenli Şifre Değiştirme
Kritik hesaplar (e-posta, bankacılık) için 6 ayda bir şifre değiştirin. Veri sızıntısı haberlerini takip edin, etkilendiyseniz hemen değiştirin.
Have I Been Pwned sitesinde e-postanızı kontrol edin. Sızıntıya uğramış hesapların şifrelerini öncelikli olarak yenileyin.
Özel Durum Senaryoları
Kurumsal Bilgisayarlarda Şifre Yönetimi
Şirket politikaları tarayıcı şifre kaydetmeyi engelleyebilir. Group Policy ayarlarıyla Chrome'da PasswordManagerEnabled değeri 0 yapılır. Bu durumda şifre kaydetme seçeneği görünmez.
Kişisel şifreleri iş bilgisayarında saklamayın. Şirket IT departmanı tarayıcı verilerine erişebilir. Kişisel hesaplar için mobil cihaz veya kişisel şifre yöneticisi kullanın.
Tarayıcı Profil Kilitleme
Chrome birden fazla profil destekler. Her profil ayrı şifre deposu kullanır. İş ve kişisel kullanım için ayrı profiller oluşturun.
Profil değiştirme: Chrome sağ üst profil ikonundan diğer profile geçiş yapın. Profil başlatma için Windows şifresi istemeyi zorlayan bir varsayılan ayar yoktur ancak üçüncü parti araçlarla yapılabilir.
Taşınabilir Tarayıcılar
PortableApps Chrome veya Firefox taşınabilir sürümü USB bellekte çalışır. Şifreler USB bellek üzerinde saklanır, bilgisayara iz bırakmaz.
USB belleği şifrelemek için VeraCrypt container kullanın. Container içine taşınabilir tarayıcıyı kurun. USB takılınca container açılmadan tarayıcı çalışmaz.
Şifre Sızıntısı Sonrası Yapılacaklar
Etkilenen Hesapları Belirleme
Hangi sitelerde aynı şifreyi kullandığınızı listeleyin. Şifre yöneticisi kullanıyorsanız arama özelliğiyle aynı şifreyi bulun.
Etkilenen tüm hesaplarda şifreyi değiştirin. Önce e-posta şifresini değiştirin çünkü diğer hesaplar e-posta ile sıfırlanabilir.
Hesap Aktivitesi Kontrolü
Google hesabında myactivity.google.com adresinden oturum açma geçmişini kontrol edin. Tanımadığınız IP adresi veya cihaz varsa "Oturumu kapat" yapın.
Sosyal medya ve finansal hesaplarda benzer kontroller yapın. Yetkisiz işlem görürseniz hesabı dondurun ve destek ile iletişime geçin.
Özet
Tarayıcı şifre yönetimi kolay erişim sağlar ancak güvenlik zayıftır. Windows kullanıcı şifresi bilinen herkes kayıtlı şifreleri görüntüleyebilir. Kritik hesaplar için bağımsız şifre yöneticisi tercih edilmelidir.
Mevcut tarayıcı şifrelerini CSV olarak dışa aktarıp güvenli şifre yöneticisine taşıyın. Tarayıcı şifre kaydetme özelliğini kapatın ve her hesap için benzersiz güçlü şifre kullanın.
İki faktörlü kimlik doğrulamayı tüm önemli hesaplarda aktif edin. Düzenli olarak şifre sızıntısı kontrolü yapın ve gerekirse proaktif şifre değişimi gerçekleştirin.
Paylaşımlı veya kurumsal bilgisayarlarda hassas şifreleri saklamayın. Bu ortamlarda her seferinde manuel giriş yapın veya mobil authenticator uygulaması kullanın.
Sıkça Sorulan Sorular
Tarayıcı şifrelerini görüntülemek için hangi sistem yetkileri gerekir?
Windows kullanıcı hesabına giriş yapmış olmanız yeterli. Yönetici yetkisi gerekmez. Şifre görüntülerken Windows kullanıcı şifresi veya PIN doğrulaması istenir. Otomatik giriş aktifse doğrulama bile gerekmeyebilir.
Tarayıcı şifrelerini görmek illegal mi?
Kendi bilgisayarınızda kendi hesaplarınızın şifrelerini görüntülemek yasaldır. Başkasının bilgisayarından izinsiz şifre çıkarmak yasadışıdır ve siber suç teşkil eder. Yetkisiz erişim ceza kanununa göre suçtur.
Tarayıcı şifreleri sildiğimde senkronizasyondan da silinir mi?
Senkronizasyon açıksa yerel silme buluttaki şifreleri de siler. Ancak işlem anında internet bağlantısı yoksa senkronizasyon yapılmaz. Bağlantı kurulunca değişiklikler senkronize edilir. Diğer cihazlardan da silinir.
Firefox ana şifresi ne kadar güvenli?
Ana şifre güçlüyse iyi koruma sağlar. Ancak brute force saldırılarına karşı PBKDF2 iterasyonu varsayılan değerde düşüktür. Çok uzun ve karmaşık ana şifre kullanın. KeePass gibi özel şifre yöneticileri daha güvenli algoritma kullanır.
Tarayıcı şifrelerimi başka bilgisayara nasıl taşırım?
CSV olarak dışa aktarıp hedef bilgisayarda içe aktarın. Alternatif olarak tarayıcı senkronizasyonunu kullanın. CSV dosyasını USB ile taşıyorsanız şifrelenmiş container içinde saklayın. İşlem bitince CSV'yi güvenli şekilde silin, SDelete gibi araçla üzerine yazın.
0 Yorum
Yorum Yaz