21.10.2024

Güvenlik

Parola İfadesi ve Şifre: Teknik Bir Güvenlik Karşılaştırması

Bir parola, harfleri, rakamları ve sembolleri bir araya getiren, genellikle 8–16 karakter uzunluğunda kısa bir kimlik doğrulama dizisidir. Bir parola öbeği, birden fazla kelimeden oluşan daha uzun bir dizidir — genellikle 20–40 karakter — ve gücünü karakter karmaşıklığından değil uzunluğundan alır. Doğrudan güvenlik açısından değerlendirildiğinde, iyi oluşturulmuş bir parola öbeği, tipik bir paroladan kriptografik olarak üstündür; çünkü entropi, sembol değiştirmeyle değil, uzunlukla üstel olarak ölçeklenir.

Hesap güvenliği, sunucu kimlik doğrulaması veya SSH anahtar koruması için hangisini benimseyeceğinize karar veriyorsanız, yanıt neredeyse her zaman parola öbeğidir — ancak bu sonuca ulaşmak, çoğu karşılaştırmanın tamamen atladığı temel matematiği, saldırı vektörlerini ve gerçek dünya dağıtım kısıtlamalarını anlamayı gerektirir.

Parola Nedir?

Bir parola, bir kullanıcının bir sisteme kimliğini doğrulamak için kullandığı sabit uzunlukta bir karakter dizisidir. Çoğu eski sistem tarafından uygulanan geleneksel model, en az bir büyük harf, bir rakam ve bir özel karakter içeren minimum 8 karakter talep eder.

Tipik özellikler:

Uzunluk: 8–16 karakter
Karakter seti: büyük harf, küçük harf, rakamlar, semboller (!@#$%^&*)
Yaygın örnek: P@ssw0rd123!

Bu modelin sorunu yapısaldır. Karmaşıklık gereksinimleri, kullanıcıları öngörülebilir değiştirme kalıplarına yönlendirir: a yerine @, o yerine 0, s yerine $ kullanılır. Saldırganlar bunu on yılı aşkın süredir bilmektedir. Hashcat gibi modern kural tabanlı kırma araçları bu değiştirme kalıplarını otomatik olarak uygular; bu da P@ssw0rd!‘ın hazırlanmış bir kelime listesine karşı Password‘dan anlamlı ölçüde daha zor kırılamayacağı anlamına gelir.

Tipik Bir Parolanın Entropisi

Entropi bit cinsinden ölçülür: H = L × log2(N); burada L uzunluk, N ise karakter setinin boyutudur.

95 karakterlik yazdırılabilir ASCII seti kullanan rastgele 10 karakterlik bir parola yaklaşık 65,7 bit entropi sağlar. Bu güçlü görünür — ta ki kullanıcıların rastgele seçim yapmadığı gerçeğini hesaba katana kadar. Gerçek dünya parolaları, efektif entropiyi dramatik biçimde azaltan kalıplar etrafında kümelenir ve bu değer çoğu zaman 30 bitin altına düşer.

Parola Öbeği Nedir?

Bir parola öbeği, genellikle boşluk, kısa çizgi veya başka ayırıcılarla ayrılmış birden fazla sözlük kelimesinden oluşan bir kimlik doğrulama kimlik bilgisidir. Güvenlik araştırmacısı Randall Munroe’nun XKCD #936 çizgi romanıyla popülerleşen kanonik örnek correct horse battery staple‘dır.

Tipik özellikler:

Uzunluk: 20–40+ karakter
Yapı: 4–6 birbiriyle ilgisiz yaygın kelime
Örnek: CorrectHorseBatteryStaple

Bir parola öbeğinin güvenliği, kelime seçiminin kombinatoryal patlamasından kaynaklanır. 7.776 kelimelik bir listeden (Diceware için tasarlanmış EFF Büyük Kelime Listesi) rastgele 4 kelime seçerseniz, olası kombinasyonların sayısı 7.776^4 = yaklaşık 3,6 trilyon olur. Bu, yaklaşık 51,7 bit entropi sağlar — beşinci bir kelime eklenmesi ise bunu 64 bitin üzerine çıkarır; tamamen insan tarafından ezberlenebilir kalırken karmaşık rastgele bir parolayla eşleşir veya onu geçer.

Uzunluk Neden Karmaşıklığı Geçer

Temel matematiksel gerçek şudur: her ek karakter arama uzayını çarpar, ancak çarpan karakter setine bağlıdır. Bir parola öbeğine bir kelime daha eklemek (~7.776 ile çarpmak), bir parolaya bir sembol daha eklemekten (~32 ile çarpmak, yaygın sembol setleri için) çok daha etkilidir. Uzunluk, kaba kuvvet saldırılarına karşı dirençte belirleyici değişkendir.

Parola Öbeği ve Parola: Teknik Karşılaştırma

Kriter	Parola	Parola Öbeği
—	—	—
Tipik uzunluk	8–16 karakter	20–40+ karakter
Entropi (pratik)	20–40 bit (kullanıcı seçimi)	50–80+ bit (kelime-rastgele)
Kaba kuvvet direnci	Düşük ile orta	Yüksek
Sözlük saldırısı direnci	Düşük (değiştirme kuralları)	Orta ile yüksek
Ezberlenebilirlik	Zayıf (rastgele diziler)	Yüksek (anlamlı kelimeler)
Yazma hızı	Hızlı	Daha yavaş, alışkınlıkla gelişir
Sistem uyumluluğu	Evrensel	Çoğu modern sistem; bazı eski sınırlamalar
Yeniden kullanım riski	Yüksek (çoğunu hatırlamak zor)	Daha düşük (benzersiz yapmak daha kolay)
SSH anahtarları için uygun	Evet	Güçlü şekilde tercih edilir
Disk şifrelemesi için uygun	Evet	Güçlü şekilde tercih edilir

Saldırı Vektörleri: Parola ve Parola Öbekleri Nasıl Kırılır

Bir kimlik bilgisi formatı seçmeden önce tehdit modelini anlamak şarttır. Üç temel saldırı kategorisi, parola ve parola öbeklerine karşı çok farklı davranır.

Kaba Kuvvet Saldırıları

Kaba kuvvet saldırısı, olası her karakter kombinasyonunu tek tek dener. Rastgele 8 karakterlik bir parolaya karşı, Hashcat çalıştıran modern GPU kümeleri tüm MD5 hash uzayını bir saatten kısa sürede tüketebilir. Bcrypt ile hashlenmiş (maliyet faktörü 12) 4 kelimelik bir Diceware parola öbeğine karşı ise aynı donanım milyonlarca yıl gerektirir — yalnızca hash algoritması nedeniyle değil, arama uzayı büyüklük sıraları bakımından daha geniş olduğu için.

Pratik çıkarım: parola uzunluğu, sızdırılmış kimlik bilgisi veritabanlarına yönelik çevrimdışı kaba kuvvet saldırılarına karşı savunmada en önemli tek faktördür.

Sözlük ve Kural Tabanlı Saldırılar

Naif parola öbeklerinin başarısız olabileceği yer burasıdır. Bir kullanıcı ünlü bir alıntıdan (ToBeOrNotToBeThatIsTheQuestion) bir parola öbeği oluşturursa, ifade tabanlı kelime listeleri veya Markov zinciri modelleri kullanan saldırganlar bunu hızla bulacaktır. Savunma, kelime seçiminde rastgeleliktir — özellikle kelimelerin kişisel çağrışımla değil, fiziksel zar atılarak veya kriptografik olarak güvenli bir rastgele sayı üreteci kullanılarak seçildiği Diceware tarzı bir yöntemle.

Bir kullanıcının “rastgele geliyor” diye icat ettiği purple elephant jumps moon gibi bir parola öbeği, bir Diceware aracı tarafından üretilen wrist panel clam orbit‘dan çok daha zayıftır; çünkü rastgelelik konusundaki insan sezgisi sistematik olarak önyargılıdır.

Kimlik Bilgisi Doldurma ve Kimlik Avı

Ne parola ne de parola öbekleri, kimlik bilgisi doldurma (sızdırılmış kimlik bilgilerini yeniden kullanma) veya kimlik avı (kimlik bilgilerini doğrudan ele geçirme) saldırılarına karşı herhangi bir savunma sağlar. Tek etkili önlemler hizmet başına benzersiz kimlik bilgileri ve çok faktörlü kimlik doğrulama (MFA)‘dır. Bununla birlikte, parola öbekleri yeniden kullanım sorununu azaltır; çünkü rastgele karakter dizilerinden daha kolay şekilde hesap başına benzersiz biçimde hatırlanabilirler.

Gerçek Dünya Dağıtım Bağlamları

SSH Anahtar Parola Öbekleri

Bir SSH anahtar çifti oluşturduğunuzda, özel anahtar bir parola öbeğiyle şifrelenebilir. Bu, parola öbekleri için en yüksek değerli kullanım durumlarından biridir. Özel anahtar dosyanız ele geçirilirse — güvenliği ihlal edilmiş bir iş istasyonundan, yanlış yapılandırılmış bir yedekten veya çalınan bir dizüstü bilgisayardan — parola öbeği son savunma hattıdır.

ssh-keygen -t ed25519 -C "your_email@example.com"

İstendiğinde güçlü bir Diceware parola öbeği girin. Her bağlantıda yazmak zorunda kalmamak için ssh-agent kullanarak önbelleğe alın:

eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519

SSH’ın birincil erişim yöntemi olduğu VPS Hosting ortamlarında, parola öbeğiyle korunan anahtarları zorunlu kılmak ve parola kimlik doğrulamasını tamamen devre dışı bırakmak (PasswordAuthentication no in /etc/ssh/sshd_config) temel bir sertleştirme adımıdır.

Disk Şifrelemesi (LUKS)

LUKS (Linux Unified Key Setup), PBKDF2 veya Argon2 aracılığıyla Birim Ana Anahtarını türetmek için bir parola öbeği kullanır. Yineleme sayısı, hedef donanımda yaklaşık bir saniye sürecek şekilde kalibre edilir; bu da parola öbeği entropisi çevrimdışı saldırı direncini doğrudan belirler. 4 kelimelik bir Diceware parola öbeği yeterli koruma sağlar; 6 kelimelik bir parola öbeği ise mevcut teknolojiyle pratikte kırılamaz.

Web Uygulaması Kimlik Doğrulaması

Çoğu web uygulaması, parolaları bcrypt, scrypt veya Argon2 kullanarak hashler. Bu algoritmaların iş faktörü çevrimdışı saldırıları yavaşlatır, ancak parola öbeğinin entropisi yine de önem taşır. 60 bit entropiye sahip bcrypt ile hashlenmiş bir parola öbeği, aynı maliyet faktöründe bile 30 efektif bite sahip bcrypt ile hashlenmiş 8 karakterlik bir paroladan çok daha dayanıklıdır.

Sunucu ve Altyapı Kimlik Bilgileri

Kritik altyapıyı yöneten Dedicated Servers‘da, root ve yönetici hesabı kimlik bilgileri her zaman parola öbeği olmalıdır — ideal olarak bir Diceware listesinden 5+ kelime. Bunu, kimlik doğrulama katmanında kaba kuvvet girişimlerini tespit etmek için PAM zorunlu kilitleme politikaları ve merkezi günlüklemeyle birleştirin.

Parola Öbeği Kullanırken Yaygın Hatalar

Ünlü alıntılar veya şarkı sözleri kullanmak. Saldırganlar, yaygın ifadelerin, kitap başlıklarının, film alıntılarının ve şarkı sözlerinin kelime listelerini tutar. Popüler kültürden alınan bir parola öbeği, karakter sayısının önerdiğinden çok daha zayıftır.

Öngörülebilir kelime kombinasyonları. SunnyDayHappyLife dört kelime kullanır ancak eğitimli bir dil modelinin verimli biçimde üretip test edebileceği anlamsal olarak tutarlı, iyimser bir kalıp izler. Gerçek rastgelelik — “bana rastgele geliyor” değil — gereklidir.

Sistem karakter sınırlarını göz ardı etmek. Bazı eski kurumsal uygulamalar, bankacılık portalları ve gömülü sistemler parolaları 16 hatta 12 karakterle sınırlar ve daha uzun girişleri sessizce keser. Sisteminizin parola öbeğinizin tamamını sakladığını her zaman doğrulayın. Uyarı vermeden keserse, 30 karakterlik parola öbeğiniz 12 karakterlik bir parolaya dönüşür.

Parola öbeklerinde boşluklar ve özel karakterler. Bazı sistemler parolalarda boşlukları reddeder. Kelimeler arasında - veya _ gibi tutarlı bir ayırıcı kullanmak (correct-horse-battery-staple), uyumluluk sorunlarını önlerken okunabilirliği korur.

Birden fazla hizmette parola öbeğini yeniden kullanmak. Parola öbeklerinin ezberlenebilirlik avantajı, paradoks biçimde yeniden kullanımı teşvik edebilir. Beş hizmette yeniden kullanılan bir parola öbeği, bir ihlalde açığa çıkma olasılığı beş kat daha yüksektir. Hesap başına benzersiz parola öbekleri korumak için bir parola yöneticisi kullanın.

Güçlü Bir Parola Öbeği Oluşturma: Teknik Bir Yöntem

Parola öbeği oluşturma için altın standart EFF Diceware yöntemidir:

Beş fiziksel zar atın (veya eşdeğer bir CSPRNG kullanın).
Beş basamaklı sonucu okuyun ve EFF Büyük Kelime Listesi’nde arayın.
5–6 kelime oluşturmak için 5–6 kez tekrarlayın.
İsteğe bağlı olarak, bunu gerektiren sistemler için kelimeler arasına bir rakam veya sembol ekleyin.

# Generate a Diceware-style passphrase using /dev/urandom on Linux
python3 -c "
import secrets
wordlist = open('/usr/share/dict/words').read().splitlines()
words = [secrets.choice(wordlist) for _ in range(5)]
print(' '.join(words))
"

Üretim kullanımı için, resmi EFF kelime listelerini ve kriptografik olarak güvenli bir rastgele kaynak kullanan diceware (Python paketi) veya passphraseme gibi özel araçları tercih edin.

Parola Yöneticileri: Kullanılabilirlik Boşluğunu Kapatmak

Bir parola yöneticisi, ezberlenebilirlik kısıtlamasını tamamen ortadan kaldırarak her hesap için rastgele oluşturulmuş, benzersiz 20+ karakterlik kimlik bilgileri kullanmanıza olanak tanır. Yöneticinin kasasını koruyan ana parola, güçlü bir Diceware parola öbeği olmalıdır — bu, ezberlemeniz gereken tek kimlik bilgisidir ve diğer her şeyi korur.

Güçlü güvenlik geçmişine sahip önerilen seçenekler:

Bitwarden — açık kaynak, denetlenmiş, kendi sunucunuzda barındırılabilir
KeePassXC — yalnızca yerel, bulut bağımlılığı yok, hava boşluklu ortamlar için güçlü
1Password — güçlü kurumsal özellikler, Gizli Anahtar mimarisi

VPS with cPanel veya diğer yönetilen hosting kontrol panellerini dağıtırken, panelin ana kimlik bilgilerini bir Diceware parola öbeğiyle korunan bir parola yöneticisi kasasında saklayın ve panelin kendisinde MFA’yı etkinleştirin.

Çok Faktörlü Kimlik Doğrulamanın Rolü

Yüksek değerli hesaplar için ne parola ne de parola öbekleri tek başına yeterlidir. MFA (Çok Faktörlü Kimlik Doğrulama), ikinci faktöre fiziksel erişim olmadan çalınan kimlik bilgilerini işe yaramaz hale getiren ikinci bir doğrulama katmanı ekler — bir TOTP kodu, donanım güvenlik anahtarı (FIDO2/WebAuthn) veya push bildirimi.

Kritik hesaplar için önerilen yığın:

Kimlik doğrulama faktörü 1: Güçlü Diceware parola öbeği (bildiğiniz bir şey)
Kimlik doğrulama faktörü 2: YubiKey veya Google Titan gibi FIDO2 donanım anahtarı (sahip olduğunuz bir şey)
Yedek: Şifreli bir kasada güvenli şekilde saklanan kurtarma kodları

Özellikle Email Hosting hesapları için MFA vazgeçilmezdir. E-posta, neredeyse her diğer hesap için kurtarma vektörüdür — ele geçirilmesi, bağlantılı tüm hizmetlerde tam hesap devralmasına yol açar.

Düzenleyici ve Uyumluluk Değerlendirmeleri

NIST SP 800-63B (2017, 2024’te güncellendi), zorunlu karmaşıklık kurallarından açıkça uzaklaşarak uzunluk tabanlı politikalara yönelmiştir. NIST’in güncel temel önerileri şunlardır:

En az 64 karaktere kadar parola izin verin (parola öbeklerini etkinleştirerek)
İhlal kanıtı olmaksızın periyodik parola rotasyonu gerektirmeyin
Yeni parolaları bilinen ihlal edilmiş kimlik bilgisi listelerine karşı kontrol edin (ör. HaveIBeenPwned API)
Öngörülebilir kalıpları teşvik ederek entropiyi azaltan bileşim kuralları (zorunlu semboller, rakamlar) uygulamayın

minimum 8 characters with uppercase + symbol + number politikalarını hâlâ uygulayan kuruluşlar, güncel NIST rehberliğine aykırı hareket etmektedir. Minimum 15–20 karakter ve ihlal listesi kontrolüyle parola öbeği dostu politikalara geçiş, hem daha güvenli hem de daha kullanılabilirdir.

Karar Matrisi: Ne Zaman Ne Kullanılır

Senaryo	Önerilen Yaklaşım
—	—
SSH özel anahtar koruması	5 kelimelik Diceware parola öbeği
LUKS disk şifrelemesi	5–6 kelimelik Diceware parola öbeği
Parola yöneticisi ana kimlik bilgisi	6 kelimelik Diceware parola öbeği (ezberlenmiş)
Web uygulaması hesapları (yönetici aracılığıyla)	Parola yöneticisinden 20+ karakterlik rastgele dizi
12 karakter maksimumlu eski sistem	Parola yöneticisinden maksimum uzunlukta rastgele dizi
Sunucu root hesabı	Parola öbeği + MFA + anahtar tabanlı SSH tercih edilir
Alan adı kayıt şirketi hesabı	Parola öbeği + MFA (DNS’i kontrol eder, yüksek değerli hedef)

Domain Registration hesapları için kayıt şirketi kimlik bilgisini birinci kademe sır olarak değerlendirin. Güvenliği ihlal edilmiş bir kayıt şirketi hesabı aracılığıyla DNS ele geçirme, bir alan adının tüm trafiğini ve e-postasını yeniden yönlendirerek diğer tüm güvenlik kontrollerini atlayabilir.

Pratik Temel Çıkarım Kontrol Listesi

Parola öbeklerini kişisel çağrışım veya ünlü ifadeler değil, CSPRNG ile Diceware yöntemi kullanarak oluşturun.
Hassas verileri koruyan herhangi bir kimlik bilgisi için minimum 5 kelime (yaklaşık 64 bit entropi) kullanın.
Parola öbeğinize güvenmeden önce hedef sistemin parola öbeği uzunluğunuzu kabul ettiğini ve tam olarak sakladığını doğrulayın.
Kasa ana kimlik bilgisi dışındaki tüm hesaplar için bir parola yöneticisi (Bitwarden, KeePassXC) kullanın.
SSH özel anahtarlarını bir parola öbeğiyle koruyun ve oturum önbellekleme için ssh-agent kullanın.
Tüm üretim sunucularındaki /etc/ssh/sshd_config dosyasında PasswordAuthentication no uygulayın.
Bunu destekleyen her hesapta MFA’yı etkinleştirin; e-posta, kayıt şirketi, hosting kontrol panelleri ve finansal hesaplara öncelik verin.
Kimlik bilgisi politikalarınızı NIST SP 800-63B’ye göre denetleyin: zorunlu rotasyon ve karmaşıklık kurallarını kaldırın, ihlal listesi kontrolü ekleyin.
Ne kadar akılda kalıcı veya benzersiz hissettirirse hissettirsin, bir parola öbeğini hiçbir zaman hizmetler arasında yeniden kullanmayın.

Sıkça Sorulan Sorular

Parola öbeği her zaman paroladan daha güvenli midir?

Rastgele oluşturulmuş 4+ Diceware kelimeli bir parola öbeği, kullanıcı tarafından seçilen bir paroladan neredeyse her zaman daha güvenlidir. Ancak, bir parola yöneticisi tarafından oluşturulan gerçek anlamda rastgele 20 karakterlik bir parola, parola öbeği entropisiyle eşleşebilir veya onu geçebilir. Parola öbeklerinin pratik avantajı, her durumda doğasında var olan bir üstünlük değil, yüksek entropiyle birlikte ezberlenebilirliktir.

Parola öbekleri yapay zeka veya dil modelleri tarafından kırılabilir mi?

Modern büyük dil modelleri anlamsal olarak tutarlı kelime dizileri oluşturabilir; bu da anlamlı cümlelere veya yaygın ifadelere dayanan parola öbeklerinin beş yıl öncesine kıyasla daha savunmasız olduğu anlamına gelir. Savunma, kelime seçiminde katı rastgelelliktir — kelimeler arasında anlamsal ilişki bulunmayan Diceware ile oluşturulmuş parola öbekleri, LLM destekli saldırılara karşı öncekinden anlamlı ölçüde daha savunmasız değildir.

SSH anahtar koruması için minimum parola öbeği uzunluğu nedir?

SSH özel anahtar şifrelemesi için NIST ve çoğu güvenlik çerçevesi, uzun vadeli sırlar için en az 128 bit entropi önerir. 5 kelimelik bir Diceware parola öbeği yaklaşık 64 bit sağlar; bu, etkileşimli kullanım için güçlü kabul edilir. Yüksek güvenceli ortamlar için 6 kelime (yaklaşık 77 bit) kullanın veya bir parola öbeğini donanım güvenlik anahtarıyla birleştirin.

Parola yöneticileri parola öbeklerini gereksiz kılar mı?

Hayır. Bir parola yöneticisi tüm hesaplarınız için yüksek entropili rastgele kimlik bilgileri oluşturur ve saklar, ancak kasanın kendisi ezberlemeniz gereken bir ana kimlik bilgisiyle korunmalıdır. Bu ana kimlik bilgisi güçlü bir Diceware parola öbeği olmalıdır. İki araç birbirinin rakibi değil, tamamlayıcısıdır.

Uzun parola öbeklerini veya boşlukları reddeden sistemleri nasıl ele alırım?

Çoğu sistemin kabul ettiği - veya . gibi tutarlı bir kelime ayırıcı kullanın (ör. correct-horse-battery-staple). Sistem 20 karakterin altında sabit bir karakter sınırı uyguluyorsa, parola yöneticisi tarafından oluşturulmuş rastgele bir dizeyle izin verilen maksimum uzunluğu kullanın ve sistemi düzeltme için NIST SP 800-63B ile uyumsuz olarak işaretleyin.

Tüm Hosting Hizmetlerinde %15 indirim