Kırılamaz Güçlü Bir Parola Nasıl Oluşturulur

Parolalar Neden Hala Önemli?

Parmak izi ve yüz tanıma gibi kimlik doğrulama teknolojilerindeki büyük gelişmelere rağmen, parola dijital hesaplarınız için ilk savunma hattı olmaya devam ediyor. Verizon'un 2024 raporuna göre, ihlallerin %80'inden fazlası zayıf veya çalınmış parolalardan kaynaklanıyor. Rakamlar kendi adına konuşuyor:

• Dark web'de 10 milyar sızdırılmış parola mevcut
• Kullanıcıların %59'u birden fazla sitede aynı parolayı tekrar kullanıyor — bu durum veri gizliliklerini tehlikeye atıyor
• Bir saldırgan gelişmiş donanım kullanarak saniyede 100 milyar parolayı deneyebilir

Parolanızın sonuna bir rakam eklediğiniz için güvende olduğunuzu düşünüyorsanız, bu makale bakış açınızı tamamen değiştirecek.

En Kötü Parolalar ve Tehlikeleri

Her yıl siber güvenlik şirketleri en yaygın parolaların listesini yayınlar ve ne yazık ki pek değişmezler:

# En kötü 10 parola — bir saniyeden kısa sürede kırılır
123456
password
qwerty123
admin
letmein
welcome
monkey
abc123
iloveyou
111111

Parolanız bu listede yer alıyor veya bunlara benziyorsa, gerçek bir tehlike altındasınız. Bu parolalar bir saniyeden kısa sürede kırılır çünkü saldırganların ilk denediği şeylerdir. Kısa ve yaygın parolalar, aslında hiç parola olmamasıyla aynı şeydir.

Parola Seçiminde Yaygın Hatalar

• Adınızı veya doğum tarihinizi kullanmak — sosyal medya profillerinizden kolayca tahmin edilir
• Tüm hesaplarınız için tek bir parola kullanmak — bir ihlal tüm hesapların tehlikeye girmesi demektir
• Sonuna password1! gibi basit bir rakam veya sembol eklemek — saldırganlar bu numarayı bilir
• Parolayı ekrana yapıştırılmış yapışkan nota yazmak
• Parolayı SMS veya e-posta yoluyla paylaşmak

Güçlü Parola Oluşturma Kuralları

Güçlü bir parola üç temel özelliğe sahiptir: uzunluk, karmaşıklık ve benzersizlik.

Uzunluk

Her ek karakter, kırma zorluğunu katlanarak artırır. Karşılaştırmaya bakın:

Altın kural: Parolanız en az 12 karakter olmalı, ideal olarak 16 karakter veya daha fazla.

Karmaşıklık

Farklı karakter türlerini birleştirin:

• Büyük harfler: A-Z
• Küçük harfler: a-z
• Rakamlar: 0-9
• Özel semboller: !@#$%^&*

Benzersizlik

Her hesabın tamamen farklı bir parolası olmalıdır. Gmail ve küçük bir forum için aynı parolayı kullanıyorsanız ve o forum ihlal edilirse, e-postanız da açığa çıkar. Bu, kimlik bilgisi doldurma (Credential Stuffing) saldırısı olarak bilinir.

Güçlü Parola Oluşturma Yöntemleri

Yöntem 1: Parola Cümlesi (Passphrase)

Tek bir karmaşık kelime yerine, birkaç rastgele kelimeden oluşan bir cümle kullanın. Bu yöntem kolaylığı ve güvenliği birleştirir:

# Parola cümlesi örneği — hatırlaması kolay, kırması zor
Coffee-Mountain-Blue-Star-42!
Sunset#River_Purple!Cloud77

Parola cümlesi hatırlamak için daha kolay, kırmak için daha zordur. 4–5 rastgele kelimeden oluşan bir cümle, 8 karakterlik karmaşık bir paroladan üstündür.

Yöntem 2: Rastgele Oluşturucu

Yazılımın tamamen rastgele bir parola oluşturmasına izin verin:

# Rastgele parola — en güçlüsü, ancak parola yöneticisi gerektirir
Kx#9mL$vPq2!nW8@

Bu, en güçlü parola türüdür ancak ezberlenmesi imkansızdır. Bu yüzden bir parola yöneticisine ihtiyacınız var (bir sonraki bölümde ele alacağız).

Yöntem 3: Anımsatıcı Kısaltma (Mnemonic)

Sizin için anlamlı bir cümle seçin ve her kelimenin ilk harfini alın:

• Cümle: "My cat Felix has 9 lives and loves fish!"
• Parola: McFh9l&lf!

Ya da başka bir örnek:

• Cümle: "Her sabah 3 fincan kahve iciyorum 2015 yilindan beri!"
• Parola: Hs3fki2015yb!

Bu yöntem hem güçlü hem de hatırlanması kolay parolalar üretir.

Parola Yöneticileri — Neden Birine İhtiyacınız Var?

50 hesabınız varsa (ortalama bir kullanıcı için normal), 50 güçlü ve benzersiz parolayı ezberlemek imkansızdır. İşte burada parola yöneticisi (Password Manager) devreye girer — tüm parolalarınızı tek bir ana parola ile açılan şifreli bir kasada saklayan uygulama.

Bitwarden (Ücretsiz ve Açık Kaynak)

Ortalama kullanıcı için en iyi seçenek. Mükemmel özelliklere sahip tamamen ücretsiz:

• Uçtan uca şifreleme (End-to-End Encryption)
• Tüm platformlarda mevcut: Windows, Mac, Linux, Android, iOS
• Parolaları otomatik dolduran tarayıcı eklentisi
• Açık kaynak — herhangi bir uzman kodu inceleyebilir
• Ücretli sürüm (yılda $10) yerleşik TOTP kimlik doğrulaması ekler

1Password

Aileler ve ekipler için en iyi tercih:

• Temiz, şık arayüz
• Watchtower özelliği parolalarınızdan biri sızdırıldığında sizi uyarır
• Aile üyeleriyle güvenli parola paylaşımı
• Ayda $3'tan başlar

KeePass (Tamamen Yerel)

Tam kontrol isteyen ileri düzey kullanıcılar için:

• Ücretsiz ve açık kaynak
• Veritabanı cihazınızda yerel olarak saklanır (bulut yok)
• Dropbox veya Google Drive üzerinden manuel senkronizasyon
• Alternatiflerden daha fazla kurulum gerektirir

İki Faktörlü Kimlik Doğrulama (2FA) — İkinci Savunma Katmanınız

Parolanız güçlü olsa bile, kimlik avı veya veri ihlali yoluyla çalınabilir. İki faktörlü kimlik doğrulama ikinci bir koruma katmanı ekler: saldırgan parolanızı bilse bile, ikinci faktör olmadan giriş yapamaz.

İki Faktörlü Kimlik Doğrulama Türleri

Kısa Mesajlar (SMS)

2FA'nın en zayıf türü, ancak hiç yoktan iyidir. Saldırganın operatörünüzü numaranızı yeni bir SIM karta aktarmaya ikna ettiği SIM Değiştirme (SIM Swap) saldırısıyla ele geçirilebilir.

Kimlik Doğrulama Uygulamaları (TOTP)

Önerilen seçenek. Telefonunuzda her 30 saniyede yeni bir kod oluşturur:

• Google Authenticator — basit ve anlaşılır
• Authy — bulut yedeklemeyi destekler
• Microsoft Authenticator — Microsoft hesaplarıyla entegre

Fiziksel Güvenlik Anahtarları (FIDO2/WebAuthn)

En güçlü kimlik doğrulama türü. Giriş yaparken USB portuna bağladığınız YubiKey gibi küçük bir cihaz. Kimlik avı yapılamaz veya kopyalanamaz. Teknoloji ilerledikçe geçiş anahtarları (Passkeys) geleneksel parolaların yerini almaya başlıyor — daha fazla bilgi için Geçiş Anahtarları Parolaların Yerini Alacak mı? yazımızı okuyun.

2FA Nasıl Etkinleştirilir

1. Hesabınızın güvenlik ayarlarına gidin (Gmail, Twitter, Facebook...)
2. "İki Adımlı Doğrulama" veya "Two-Factor Authentication" arayın
3. Birincil yöntem olarak kimlik doğrulama uygulamasını seçin
4. Kimlik doğrulama uygulamanızla QR kodunu tarayın
5. Kurtarma kodlarını güvenli bir yerde saklayın — telefonunuzu kaybederseniz bunlara ihtiyacınız olacak

Parolalar Nasıl Kırılır?

Saldırı yöntemlerini anlamak, daha güçlü savunmalar oluşturmanıza yardımcı olur.

Kaba Kuvvet Saldırısı (Brute Force)

Saldırgan karakter karakter olası her kombinasyonu dener. Parolanız ne kadar uzunsa, bu saldırı o kadar pratik olmaktan çıkar. 16 karakterlik karışık bir parolayı kaba kuvvetle kırmak milyonlarca yıl gerektirir.

Sözlük Saldırısı (Dictionary Attack)

Saldırgan yaygın kelimelerin listesini ve varyasyonlarını kullanır. Bu yüzden sözlük kelimelerini asla parola olarak kullanmamalısınız. p@ssw0rd gibi basit değişiklikler bile saldırgan listelerinde mevcuttur.

Kimlik Avı (Phishing)

En tehlikeli yöntemdir çünkü sizi parolanızı gönüllü olarak vermeye kandırır. Saldırgan bankanızdan veya Google'dan geliyormuş gibi görünen bir e-posta gönderir ve "hesabınızı doğrulamanızı" ister. Bağlantı sizi bilgilerinizi çalan sahte bir sayfaya yönlendirir.

Kendinizi nasıl korursunuz: E-postalardaki bağlantılara asla tıklamayın. Adresi tarayıcıya yazarak doğrudan resmi web sitesine gidin. Siber güvenlik temelleri hakkındaki makalemizde daha fazla bilgi edinin ve bağlantınızı bir VPN ile koruyun.

Kimlik Bilgisi Doldurma (Credential Stuffing)

Saldırgan, ihlal edilmiş bir siteden sızan parolaları alır ve diğer sitelerde dener. İnsanların %59'u parolalarını tekrar kullanır, bu da bu saldırıyı son derece etkili kılar.

Gökkuşağı Tablosu Saldırısı (Rainbow Table)

Olası her parolayı şifrelenmiş değeriyle (Hash) eşleştiren önceden hesaplanmış tablolar. İyi web siteleri bu saldırıyı etkisiz hale getirmek için tuzlama (Salting) teknolojisi kullanır.

Parolanızın Sızdırılıp Sızdırılmadığını Nasıl Kontrol Edersiniz?

Have I Been Pwned web sitesi bunu ücretsiz olarak kontrol etmenize olanak tanır:

1. haveibeenpwned.com adresine gidin
2. E-posta adresinizi girin
3. E-postanızın herhangi bir veri ihlalinde yer alıp almadığını söyleyecektir
4. Yer aldıysa — o hesabın parolasını hemen değiştirin

Site tamamen güvenlidir ve e-postanızı saklamaz. Güvenlik araştırmacısı Troy Hunt tarafından oluşturulmuş olup hükümetler ve büyük kuruluşlar tarafından kullanılmaktadır. Ayrıca, e-postanız gelecekteki bir ihlalde ortaya çıkarsa bildirim almak için uyarıları etkinleştirebilirsiniz.

Eylem Planı: Hesaplarınızı Şimdi Güvenceye Alın

Hesaplarınızı korumayı ertelemeyin. Bugün şu adımları takip edin:

1. Bir parola yöneticisi kurun — ücretsiz Bitwarden ile başlayın
2. En önemli hesaplarınızın parolalarını değiştirin — e-posta, banka, sosyal medya
3. Destekleyen her hesapta 2FA'yı etkinleştirin — e-postayla başlayın
4. E-postanızı haveibeenpwned.com'da kontrol edin
5. Asla tekrar aynı parolayı kullanmayın

Sıkça Sorulan Sorular

Güçlü bir parola lüks değildir — siber saldırıların her gün arttığı bir dünyada ilk savunma hattınızdır. Tarif basit: Bitwarden gibi bir parola yöneticisi kullanın, tüm önemli hesaplarınızda iki faktörlü kimlik doğrulamayı etkinleştirin ve asla aynı parolayı tekrar kullanmayın.

Hesabınız ele geçirilene kadar beklemeyin. Şimdi en önemli hesaplarınızı — e-posta ve banka — güvence altına alarak başlayın, ardından kademeli olarak diğer hesaplarınıza geçin. Ve kapsamlı bir güvenlik sistemi kurmak için siber güvenlik temelleri rehberimizi okuyun.