Güçlü Parolalar Oluşturma ve Koruma

Güncellendi28 March 2024

İçindekiler

...İçindekiler Yükleniyor...

    Parolalar, verilerinizi ve çevrimiçi kimliğinizi güvende tutmak için önemli araçlardır. Ne yazık ki hesabınıza saldıranlar da bunun farkındadır ve parolalarınızı ele geçirmek için çok çeşitli yöntemlere sahiptir.

    Ancak birkaç önemli araç ve taktik uygulayarak bu hilelere karşı kendinizi savunabilirsiniz.

    Parolalarınızı koruyun

    • Hesaplarınıza erişmek ve parolalarınızı yönetmek de dahil olmak üzere hassas bilgilerinizi yönetmek için her zaman güvenli, güncel, korumalı ve güvenilir bir cihaz kullanın. Cihazınızın güvenli olduğundan nasıl emin olacağınızı öğrenmek için Telefon ve Bilgisayarlar kılavuzuna göz atın.
    • Bir parola yöneticisi kullanın. Hiçbir insan beyni, tüm cihazlarını ve hesaplarını güvende tutmak için yeterince uzun, rastgele ve benzersiz parolalar geliştirecek ve hatırlayacak kadar güçlü değildir. Bir parola yöneticisi bu parolaları sizin için oluşturur, saklar ve şifreleme ile korur. Hangi parola yöneticilerini kullanabileceğiniz ve bunları nasıl kullanacağınız hakkında daha fazla bilgiyi edinebilirsiniz parola yöneticileri kılavuzumuzdan edinebilirsiniz.
    • İki faktörlü kimlik doğrulama (2FA veya MFA) kullanın. Çok faktörlü kimlik doğrulama (MFA) olarak da adlandırılan iki faktörlü kimlik doğrulama (2FA) giriş sistemine ikinci bir doğrulama faktörü ekler. Birisi şifrenizi tahmin etmeyi başarsa bile giriş yapamayacağından 2FA kullanarak emin olabilirsiniz, çünkü elde edilmesi daha güç olan ikinci bir faktöre ihtiyaç duyulur. 2FA’yı en güvenli biçimde nasıl kullanabileceğinizi öğrenmek için iki faktörlü kimlik doğrulama kılavuzumuza göz atın.

    Parola ve hesaplarınızı en yaygın biçimde görülen saldırılardan nasıl koruyacağınız hakkında daha fazla bilgi edinmek için aşağıdaki bölümlere göz atın.

    Daha güçlü bir şifre oluşturma

    Kısaca, ihtiyacınız olan tüm şifreleri çevrimdışı bir şifre yöneticisi ile oluşturmanızı ve hatırlayabileceğiniz birkaç uzun parola kullanarak şifre yöneticisini ve şifre yöneticisi veritabanını yüklediğiniz cihazı açmanızı öneriyoruz.

    Tüm parolalarınızı kendiniz oluşturmayı tercih ediyorsanız, parolanızın yeterince güçlü olduğundan emin olmak için asgari düzeyde yapmanız gerekenler şunlardır:

    • Uzun bir parola oluşturun - 12 karakter hedeflemeniz gereken asgari seviyedir. Yapabiliyorsanız, 14 karakter daha güvenlidir.
    • Parolanızda harf, rakam ve sembol kullanın.
    • Sadece aşağıdaki yöntemleri kullanarak şifre oluşturmanın parolalarınızı güvenli YAPMAYACAĞINI unutmayın. Ancak bunları güçlü bir parolaya ekleyerek parolanızı tahmin edilmesi daha zor hale getirebilirsiniz.
      • Harfleri benzer sembol ve rakamlarla değiştirmek (mesela "a" yerine "@" veya "e" yerine "3" kullanmak). Bu parola kırmayı bilen kişiler tarafından iyi bilinen eski bir yöntemdir.
      • Parolanın sonuna ünlem işareti, rakam veya diğer noktalama işaretleri eklemek - bu da parolanızı kırmaya çalışan biri tarafından tahmin edilebilecek bilinen bir yöntemdir.
      • Her Kelimeye Büyük Harfle Başlamak - bu da parolanızı kırma girişimlerinde kullanılacak bilinen bir yöntemdir.

    Ayrıca aşağıdaki önerileri unutmayın:

    • Herhangi bir sözlükten tek bir kelime seçip kullanmayın.
    • Ünlü alıntılar veya şiir ve şarkı sözlerinden cümleler gibi yaygın ifadeleri kullanmayın.
    • Kendinizle, çevrenizdeki kişi ve kuruluşlarla ilgili kelime ve sayıları kullanmayın:
      • insanların, evcil hayvanların ya da kurumların isimleri,
      • doğum günleri, önemli yıldönümleri ya da tatiller,
      • telefon numarası ve adresler,
      • ya da birilerinin siz ve çevrenizdeki insanlar hakkında araştırarak bulabileceği herhangi bir şey.
    • Parolalarınızı sık aralıklarla değiştirmeniz gerekmez. Parolanızı ne zaman değiştireceğinize karar vermek için Parolanızı ne zaman değiştirmelisiniz konusuna göz atın.

    Güvenli Birkaç Şifreyi Unutmayın

    Parola yöneticisi kullanıyor olsanız bile, parola yöneticisinin kurulu olduğu cihazı açmak ve güçlü ve eşsiz parolalarınızı sakladığınız parola yöneticisi veritabanına erişmek için birkaç güvenli parolayı ezberlemeniz icap etmektedir.

    • Hatırlayabileceğiniz güçlü parolalar oluşturmak için Diceware yöntemini kullanın:
      1. Numaralandırılmış kelimelerden oluşan bir liste ve 5 zar edinin.
      2. Beş basamaklı bir sayı elde etmek için beş zarı sallayın (6, 2, 5, 1, 1 gibi).
      3. Çıkan beş basamaklı sayının listedeki karşılığını bulun.
      4. Bu adımları altı kez tekrarlayın. Oluşan altı kelimeyi "anahtar" olarak kullanın.
        • Bu anahtar parolayı başka herhangi bir yerde kullanmayın.
      5. Ardından, paroladaki kelimeleri sırasıyla kullanarak parolayı hatırlamanıza yardımcı olacak zihinsel bir görüntü oluşturun.
      6. Bu parolaları düzenli olarak, önce her gün ve ardından en az haftada bir kez girecek şekilde alıştırma yapın. Bu tekrarlar bu parolaları hatırlamanıza yardımcı olacaktır.
    • Eğer zarınız yoksa ve hatırlayabileceğiniz bir parola oluşturmanız gerekirse KeePassXC ile oluşturabilirsiniz.
    • Alternatif olarak "kitap yöntemini" kullanabilirsiniz:
      1. Elinize mümkünse yürüttüğünüz faaliyetlerle ilgisi olmayan bir kitap alın.
      2. Kitabın rastgele bir sayfasını açın.
      3. Gözleriniz kapalı bir biçimde parmağınızı açık sayfa üzerinde gezdirerek rastgele bir kelime seçin.
      4. Bu adımı altı rastgele kelimeden oluşan bir parola oluşturana kadar altı kez tekrarlayın.
        • Bu yöntem, özellikle ofisinizdeki bir kitabı kullanmanız durumunda, daha tahmin edilebilir olması sebebiyle daha az güvenli olduğunu unutmayın. Yazılım yüklemek istemiyorsanız ve rastgele bir dergi veya kitap seçerseniz, hatırlayabileceğiniz uzun bir parola oluşturmak için iyi bir alternatif olabilir.
    Bu adımı neden öneriyoruz

    Parola yöneticisinin yüklü olduğu cihazın giriş parolası ve parola yöneticisinin ana parolası da dahil olmak üzere ezberlemeniz gereken birkaç parola bulunmaktadır. Diceware yöntemi hatırlaması kolay ama çok fazla zamanı ve becerisi olan ve "şifre kırma" yazılımını nasıl kullanacağını bilen bir saldırgan için bile tahmin edilmesi son derece zor parolalar oluşturmanıza yardım eder.

    Eğer Parolanızı Paylaşmanız Gerekirse

    • Eğer mümkünse parolalarınızı paylaşmaktan kaçının:
      • Eğer şifrenizi bir arkadaşınızla, aileden biriyle ya da bir iş arkadaşınızla paylaşmanız gerekirse, şifrenizi geçici olarak değiştirin ve bu geçici şifreyi paylaşın. Şifreyi paylaştığınız kişinin parolayla işi bittiğinde yeniden güvenli bir şifre oluşturun.
      • Eğer bir hizmete birden çok kişinin erişmesi gerekiyorsa, her kişi için ayrı hesaplar oluşturmayı değerlendirin; birçok servis sağlayıcıda bunu yapmak mümkündür. Bu hesapların hangi eylemleri gerçekleştirebileceğini ve neleri görebileceğini sınırlayabilirsiniz.
      • Eğer bir cihazı paylaşmanız gerekiyorsa, o cihaz için ayrı bir hesap oluşturmayı değerlendirin. Bu işlemin nasıl yapılacağı hakkında talimatları Android, Linux, macOS ve Windows için temel güvenlik kılavuzlarında bulabilirsiniz.
        • iPad hariç iOS işletim sistemine sahip cihazlarda bu seçenek mevcut değildir. Bunu nasıl yapacağınızı öğrenmek için Paylaşılan iPad'e genel bakış bölümüne göz atın.
    • Parolalarınızı başkalarıyla paylaşmak istemeniz durumunda, KeePassXC ortak kullanıma uygun şekilde ayarlanabilir. Bunun nasıl yapılacağını öğrenmek için KeePassXC belgelerine göz atın.
    Bu adımı neden öneriyoruz

    Bir parolayı her paylaştığınızda, evinizin anahtarından bir kopya yapıp başkasına vermiş gibi olursunuz: başkasının o anahtarı kaybetme riski ek olarak ortaya çıkar. Aslında şifre paylaşımı evinizin anahtarını vermekten daha risklidir daha risklidir zira “evinize” siz fark etmeden uzaktaki cihazlar tarafından kolayca erişim şifre paylaşımıyla mümkündür. Mümkün olduğunca şifreleri paylaşmaktan kaçınarak "saldırı yüzeyini" azaltın.

    Parolalarınızın Tehlikede Olup Olmadığını Öğrenin

    • Hesaplarınızın ele geçirilmiş olarak rapor edilip edilmediğini görmek için ';--have i been pwned? web sitesini kontrol edin.
      • Burada bulduğunuz hesabın parolasını parola yöneticisi kullanma bölümündeki talimatları izleyerek gecikmeksizin değiştirin.
    • Bu rehberdeki talimatları hesaplarınızdan hiçbiri burada görünmese bile pek çok hesap ihlali bildirilmediği için her halükarda izlemenizi öneririz.
    Bu adımı neden öneriyoruz

    Saldırganlar daha önce gizliliği ihlal edilmiş, çevrimiçi olarak erişebilecekleri parolaların peşine düşer. Hesaplarınıza erişmek için doğru şifreyi bulana kadar çeşitli şifreler denerler. Bu bağlamda aynı şifreyi tekrar tekrar kullanmak özellikle güvenlik açısından ciddi risk arz eder. Parolalarınızın saldırganların kullandığı listelerde olup olmadığını öğrenmek için ';--have i been pwned? adresini kontrol edin.

    Saldırganların şifrelerinizi nasıl tahmin edeceğini anlayın

    Saldırganların parolanızı öğrenmesinin en yaygın yolları şu şekildedir:

    1. Saldırganlar aşağıdaki durumlarda parolalarınızı tahmin edilebilir:
      • Önemli tarihler, isimler, alıntılar, sevdiğiniz şarkılar veya yazarlar gibi kişisel bilgilerin kullanılması,
      • Sözlük kullanarak şifre oluşturulması,
      • Daha önce kullanılan şifrelerin kısmi değişikliklerle yeniden kullanılması,
      • Olası tüm kombinasyonları deneyecek yazılım kullanılması.
    2. Parolalarınıza aşağıdaki durumlarda basit bir aramayla erişebilirler:
      • Parolalarınızı yazılı olarak açıkta tutmak masaüstündeki notlar ) gibi,
      • Parolanızı girerken el hareketlerinizden yazdığınızı takip etmek,
      • Halihazırda ihlal edilmiş ve çevrimiçi olarak erişilebilen parolalar kullanmak.
    3. Sizi tuzağa düşürebilirler:
      • Parolalarınızı kaydetmek için kötü amaçlı bir yazılım yükleyebilirler,
      • Kimlik avı yöntemiyle şifrenizi sahte bir giriş sayfasına yazmanızı sağlayabilirler,
      • Müşteri destek görevlisi veya tanıdığınız biri gibi davranarak şifrelerinizi veya diğer kişisel bilgilerinizi elde etmek (sosyal mühendislik olarak da bilinir).
      • Hızlı hareket etmeniz için size baskı yapma veya duygularınıza hitap etme girişimlerini nasıl fark edebileceğinize yönelik girişimleri nasıl fark edebileceğiniz hakkında bilgi için kötü amaçlı yazılım kılavuzuna bakınız.
    4. Güvenlik açıklarından yararlanabilirler:
      • Şifrenizle giriş yapmak istedikleri web sitesini hacklemek,
      • Tarayıcınızda depoladığınız şifreleri ele geçirmek,
      • Telefonunuzda kullandığınız uygulamalardan şifrelerinizi ele geçirmek.

    Birinden E-Posta, Mesaj ve Arama Geldiğinde Şifrenizi Paylaşmayın

    • Talebi doğrulamak için size mesajı gönderdiği varsayılan servisin uygulamasını veya web sitesini açın.
    • Eğer mesajı gönderen sizin tanıdığınız bir kişi veya bildiğiniz iş yeriyse, talebin onlardan geldiğini doğrulamak için başka bir iletişim kanalı kullanarak bu kişilerle irtibata geçin.
      • Mesela mesaj e-posta ile iletildiyse, arayın.
      • Gönderilen e-postadaki linklere tıklamayın veya cevap yazmayın.
    • Bir mesaj sizi korkutmaya, meraklandırmaya, bir fırsatı kaçıracağınızı hissettirmeye ya da başka şekillerde hızlı ve düşünmeden hareket etmenizi sağlamaya çalışıyorsa, bu bir kimlik avı girişimi olabilir. Durun, sakin kalın ve bu gibi mesajları doğrulamanın başka yollarını düşünün.
    Bu adımı neden öneriyoruz

    Saldırganlar, bizi hassas bilgileri paylaşmamıza ikna etmek için genellikle olmadıkları biri gibi, mesela bir banka veya teknik destek uzmanı gibi davranırlar. Saldırganlar, paylaşmamamız gereken bilgileri elde etmek için genellikle duygularımıza ve vicdanımıza oynarlar.

    Eğer şifrenizi ya da diğer hassas bilgilerinizi isteyen bir arama, e-posta veya mesaj alırsanız veya bir e-posta ya da mesaj bir bağlantı içeriyorsa ve sizden bu bilgiler için linke tıklamanızı istiyorsa, muhtemelen sizi oyuna getirmeye çalışan biri bulunuyordur.

    Hızlı hareket etmeniz için size baskı yapma veya duygularınıza hitap etme girişimlerini nasıl fark edebileceğinize yönelik girişimleri nasıl fark edebileceğiniz hakkında bilgi için kötü amaçlı yazılım kılavuzuna bakınız.

    Kimlik avı saldırılarından nasıl kaçınılacağına ilişkin daha fazla bilgiyi Surveillance Self-Defense Kılavuzu'nda bulabilirsiniz.

    Şifrenizi Ne Zaman Değiştirmelisiniz

    Şu durumlarda şifrenizi hemen değiştirin:

    • Hesabınız, cihanızınız veya iş arkadaşlarınız ile çevrenizdeki kişiler bir ihlale maruz kalmış görünüyorsa.
    • Yetkilendirilmemiş bir cihazdan veya bir yerden giriş yapılmaya çalışıldığına dair servis sağlayıcılardan gelen güvenilir bir bildirim varsa.
      • Veri ihlalleriyle ilgili haberleri kontrol edin.
      • Bir e-posta veya uyarı alırsanız, servis sağlayıcının kendi web sitesini, uyarıyı onların gönderip göndermediğini anlamak için kontrol edin.
    • Şifrenizi güvenilir olmayan, ortak kullanıma veya herkesin kullanımına açık bir cihazda girdiyseniz (kötü amaçlı yazılım yüklenmiş olabilir).
    • Birinin sizi şifrenizi yazarken gördüğünden şüpheleniyorsanız.

    Etkilenmiş olabilecek diğer kişileri de uyararak ortaya çıkacak olası zararı en aza indirin.

    Cihazınızın parolasını nasıl değiştireceğinize dair talimatlar için sosyal medya kılavuzumuza ve Android, iOS, Linux, macOS ve Windows için temel güvenlik kılavuzlarına bakın.

    Bu adımı neden öneriyoruz

    Araştırmalar, şifrenizi sürekli değiştirmenin güvenlik seviyesini artırmadığını gösteriyor. İnsanlardan parolalarını değiştirmeleri istendiğinde, yeni bir parola oluşturmak yerine mevcut parolada küçük değişiklikler yaptığı gözlemlenmiştir. Bu araştırma hakkında daha fazla bilgiyi Bruce Schneier'in parolaları sık sık değiştirmenin neden kötü bir güvenlik fikri olduğuna ilişkin yazısında bulabilirsiniz.

    Bir veri ihlali olduğunda parola değiştirmeniz daha önemlidir. Ancak verilerin ne zaman sızdığını bilmediğimiz için, özellikle çevrimiçi hizmetler için parolalarınızı birkaç ayda bir yahut yılda bir veya güvenliğe dair haklı bir endişenizin olması durumunda gecikmeksizin değiştirilmesini öneririz.

    Nerede olduğunuza ve parolanızı yazarken kimin görebileceğine dikkat edin

    • Eğer kamusal bir alandaysanız ve parolanızı yazıyorsanız, başkaları tarafından görülmediğinizden veya görüntü alınmadığından emin olun.
    • Parolanızı yazarken telefonunuz ya da klavyenizin birileri tarafından gözlemlenip gözlemlenmediğini kontrol edin.
    • Ne yazdığınızın görülmesini engellemek/zorlaştırmak için gizlilik sağlayan hayalet ekran koruyucular kullanın.
    Bu adımı neden öneriyoruz

    Hasımlarınız sizi takip edebilir ve parolanızı girerken kayıt altına alabilir. Bir aktivistin telefonuna asılsız bir ayaklandırmaya teşvik suçlamasıyla el konuldu. Gözaltındaki aktivist telefonunun şifresini savcılıkla paylaşmayı reddetmesine rağmen savcılık aktivistin günlük rutinini inceleyerek telefonun şifresini açıp verilere erişebildi. Savcılık, aktivistin yaşadığı apartmanın asansöründeki güvenlik kamerasını buldu ve güvenlik kamerası kayıtlarından onun şifreyi yazdığı görüntüleri elde ettiler.

    Yüz Tanıma ve Parmak İzi (Biyometrik Veriler) ile Kilit Açmaktan Kaçının

    • Cihazınız, yüzünüzü veya parmak izinizi kullanarak kilit açacak şekilde ayarlıysa, şifre kullanarak kilit açacak şekilde ayarlarınızı değiştirin.
    • Bu işlemi nasıl yapacağınıza dair talimatları Android, iOS, Linux, macOS ve Windows için temel güvenlik kılavuzlarında bulabilirsiniz.
    Bu adımı neden öneriyoruz

    Biyometrik veriler, parmak izi veya yüz gibi kişisel özelliklerinizi kullanarak cihazlarınıza daha hızlı erişmenizi sağlayabilir. Ancak bunlar genellikle cihaz ve hesaplarınızı kilitlemenin daha az güvenli yoludur. Parolanın aksine, parmak izinizi değiştiremezsiniz. Pek çok insanın biyometrik verilerini devlet daireleri, havaalanları vb. gibi yerlere sunmaları gerekmektedir. Bu, birisinin sizin onayınız olmadan hesaplarınıza erişmesi riskini taşır. Dahası, peşinizde olanlar sizi fiziksel olarak zorlayıp kısıtlarsa, cihazın kilidini bu yolla kaldırabilir. Oysa şifre kullanmanız onların kilidi açmalarını ciddi anlamda zorlaştırır.

    Nasıl ve ne zaman geçiş anahtarı kullanacağınızı değerlendirin

    Bazı çevrimiçi platformlar kullanıcı adı ve parolanız yerine geçiş anahtarı kullanmanızı önerebilir.

    Geçiş anahtarları, kimlik avı saldırılarına karşı daha güçlü koruma sağlar. Ancak bu büyük ölçüde -hesaplarınızda oturum açmak için kimlik bilgileri bir yana, hassas herhangi bir şey için kullanmanızı önermediğimiz- biyometrik veriler ve bulut paylaşımına dayanır. Bununla birlikte, gelişmiş kimlik avı saldırılarına maruz kalabileceğinizi düşünüyorsanız, bu tehdide karşı kendinizi geçiş anahtarları korumayı seçebilir ve bunları biyometrik veriler veya bulut paylaşımı olmadan kullanabilirsiniz.

    Bir geçiş anahtarını etkinleştirmek için ihtiyacınız olan şey ya geçiş anahtarı desteği olan bir parola yöneticisi ya da bilgisayarınıza veya telefonunuza takılı bir güvenlik anahtarı veya yüksek güvenlikli bir çiptir. Çoğu durumda insanlar, bulut tabanlı bir parola yöneticisi veya parmak izi veya yüz gibi biyometrik veriye dayalı cihaz kilitleme yöntemi ile geçiş anahtarlarının kilidini açar.

    Ancak bu şekilde kullanmak gerçekten gerekli değidirl: pek çok durumda, geçiş anahtarlarınızı daha güvenli yollarla, fiziksel bir güvenlik anahtarında veya bilgisayarınız ya da telefonunuza takılı yüksek güvenlikli bir çipte saklayabilirsiniz. Bu çipi biyometrik veri yerine bir parola ile kilitlemenizi öneririz.

    Geçiş anahtarlarını, KeePassXC tarayıcı entegrasyonunu etkinleştirerek KeePassXC ile saklayabilirsiniz, ancak bu çözüm donanım cihazları ve yüksek güvenlikli çiplere dayanan diğer çözümlerden daha az güvenli olarak kabul edilmelidir zira tarayıcınıza bağlı olduğu için tarayıcı tabanlı saldırılara maruz kalacaktır.

    Kuvvetli Kurtarma Soruları Oluşturun

    Birçok web servisi hesap oluştururken ‘güvenlik sorusu’ veya ‘kurtarma sorusu’ belirlemenizi ister. Bunların tahmin etmesini daha zorlaştırmak için şu adımları takip edin:

    • Bu sorulara gerçek olmayan alakasız cevaplar verin.
    • Parola yöneticiniz tarafından oluşturulan rasgele, özgün bir kod bile kullanabilirsiniz.
    • Yanıtlarınızı ve kullandığınız parola yöneticinize kaydedin, böylece kurtarma sorularını unutma ve hesaba erişememe riskiyle karşılaşmazsınız.
    Bu adımı neden öneriyoruz

    Servis sağlayıcıları başka birinin hesabınıza erişmeye çalışması durumunda kimliğinizi doğrulamaya yardımcı olması için kurtarma sorularını kullanır. Hesabınıza erişiminizi kaybetmeniz durumunda şifrenizi değiştirmek için bu sorulara verdiğiniz yanıtları kullanırsınız. ‘Doğum yeriniz neresi?’ veya ‘Evcil hayvanınızın adı nedir’ gibi soruları ne yazık ki çevrimiçi olarak bulmak kolay olabilir. Bu sorulara sahte cevaplar vererek, bir saldırganın hesabınızı ele geçirmesini zorlaştırabilirsiniz.

    Daha Fazla Bilgi İçin