Güvenli parolaları nasıl oluşturabilirim?

Güvenlik riski olarak zayıf parolalar

Ülkemizde hangi parolalar özellikle popüler ve aynı zamanda güvensiz? Hasso-Plattner-Institut’un (HPI) her yıl yayımladığı top listesi, “123456” gibi basit sayı dizilerinin veya “password” ya da “Passwort” gibi ifadelerin yıllardır hâlâ sık kullanıldığını ve son derece hızlı şekilde kırılabildiğini gösteriyor. Bu tür parolalar saldırganların işini fazlasıyla kolaylaştırır.

Genel zayıflığa ek olarak, birçok kişi aynı parolayı birden fazla hizmette tekrar kullanır. Parola yeniden kullanımı tek bir sızıntının aynı anda birden fazla hesabı riske atmasına yol açar.

Parolam güvenli mi?

Zayıf parolalar kimlik hırsızlığına davetiye çıkarır. Brute-Force- ve sözlük saldırılarında yaygın kombinasyonlar (“abcde”, “qwertz”, “Passwort1” gibi tipik kalıplar dâhil) yüksek hızda denenir. Password Depot, kalite analizi ile her kayıt için destek sunar ve kolay tahmin edilebilen kalıplar veya çok kısa parolalar konusunda uyarır.

Password Depot içindeki kayıtlarınızı düzenli olarak kontrol edin: Akıllı kontroller aşırı zayıf parolaları tespit etmeye ve değiştirmeye yardımcı olur.

Password Depot ile güvenli parolalar oluşturun

Özellikle şirketlerde parolaların belirlenmiş kalite gereksinimlerini karşılaması gerekir. Password Depot’nun parola oluşturucusu güçlü, rastgele parolalar üretir ve bunları AES-256 (Rijndael) ile şifreli olarak saklar; bu yöntem uluslararası düzeyde standardize edilmiş ve son derece sağlam kabul edilmektedir.

Oturum açarken – ör. e-posta posta kutularında, banka hesaplarında veya web formlarında – Password Depot oturum açma bilgilerini otomatik ve güvenli ekleyin. Bir parolayı düz metin olarak görüntülemek isterseniz, ona yalnızca sizin erişebildiğiniz kasada ulaşabilirsiniz.

Parolalar ne sıklıkla değiştirilmelidir?

Password Depot, ihtiyaç halinde belirli kayıtların yenilenmesini size hatırlatabilir: Bunun için “Geçerlilik tarihi” alanını doldurun ve her kayıt için ayrı süreler tanımlayın.

Güvenli parola oluşturma ipuçları

İstisnai olarak olmaksızın oluşturuyorsanız, şu yönergeler yardımcı olur:

• Yeterince uzunluk: İzin verilen en fazla sayıda karakter kullanın – pratikte uygun olan en az 12–16. Her ek karakter güvenliği hissedilir ölçüde artırır.
• Desen yerine rastgelelik: Tekrarlar veya kalıplar kullanmayın (“aaaaa”, “ababab”, “20242025”).
• Karakter çeşitliliği: Büyük/küçük harfler, sayılar, noktalama işaretleri ve özel karakterler kullanın. Eğer tüm karakter türlerini kullanmıyorsanız, parolayı buna göre daha uzun yapın.
• Diziler kullanmayın: “12345”, “abcde”, “qwertz” gibi sıralamalardan ve klavye desenlerinden kaçının.
• “Leetspeak” kullanmayın: “P@ssw0rd” gibi öngörülebilir ikameler saldırganlar tarafından bilinir ve neredeyse hiç fayda sağlamaz. Bunun yerine Uzunluk ve rastgelelik.
• Kişisel veri kullanmayın: İsimler, doğum tarihleri, telefon numaraları, araç plakaları vb. kullanmayın.
• Kişisel tercihlerden kaçının: Favori yemekler/kulüpler/yerler (“PizzaSalami”, “BayernMünchen”, “Bodensee”) kullanmayın.
• Salt sözlük kelimeleri kullanmayın: Tek bir bilinen kelime – uzun olsa bile – sözlük saldırılarına karşı savunmasızdır. Daha iyisi: Parola ifadeleri birden fazla rastgele kelime ile ayırıcılar/sayıların birleşimi.
• Her hesap için benzersiz olsun: Her bir hesap için farklı bir parola kullanın – asla yeniden kullanmayın.

Password Depot içindeki ana parolanız için ipuçları

Artık yalnızca bir parolayı hatırlamanız gerekir: ana parola. Kendini kanıtlamış yöntemlerden biri de kişiye özel parola ifadeleri, örneğin ayırıcılar ve isteğe bağlı sayılar/özel karakterlerle üç ila beş rastgele kelime. Atasözlerinden ve bilinen ezber cümlelerinden kaçının.

Kişiye özel bir parola ifadesi örneği (yalnızca örnek olarak, lütfen aynen kullanmayın): “10 yıldır Password Depot içinde güvenli parola ifadeleri kullanıyorum” ⇒

Parola ifadesi örneği

10#yıldır#güvenli#parola#ifadeleri#kullanıyorum

(gerekirse daha da çeşitlendirilebilir).

Şu yöntem de mümkündür: Karıştırma yöntemiyle kelimeler ve sayılar birlikte kullanılabilir – ancak sayıların kolayca tahmin edilebilen veriler olmamalı olmalıdır. Temel kural şudur: Uzunluk + rastgelelik, her türlü numarayı geride bırakır.

Özet

• Parola değiştirme güvenlik olaylarında, ele geçirilme şüphesinde veya paylaşılan/güvensiz parolalarda yapılmalıdır – herhangi bir neden olmadan düzenli olarak zorunlu tutulmamalıdır.
• Maksimum uzunluk kullanın ve ideal olarak bir oluşturucu kullanın.
• İzin verilen tüm karakter türlerini kullanın veya mümkün değilse uzunluğu belirgin şekilde artırın.
• Sadece sözlük kelimeleri kullanmayın, isimler/sayılar ve klavye desenleri kullanmayın.
• Yeniden kullanmayın farklı hizmetlerde aynı veya benzer parolaları (bkz. Rehber).
• Parola yöneticisi olarak Password Depot kullanın – böylece yalnızca tek bir ana parola hatırlamanız yeterli olur.
• MFA'yı etkinleştirin (ve varsa Passkey'leri kullanın).

Kaynaklar (seçme)

• NIST SP 800–63B – Digital Identity Guidelines – Memorized Secrets (örn. minimum uzunluk, zorunlu periyodik değişiklik olmaması, kara liste kontrolleri).
• NCSC (UK) – Düzenli parola değişikliğinin neden zararlı olduğu.
• BSI – Güvenli parolalar oluşturma, Basın duyurusu: Parola değişikliği, İki faktörlü kimlik doğrulama.
• Hasso-Plattner-Institut – 2023’ün en popüler parolaları / ILC istatistikleri.
• NIST FIPS 197 – Advanced Encryption Standard (AES).
• CISA – Güçlü Parolalar Kullanın, Çok Faktörlü Kimlik Doğrulama.