Güçlü Parolalar Oluşturma ve Koruma

Güncellendi11 November 2021

İçindekiler

...İçindekiler Yükleniyor...

    Parolalar, verilerinizi ve çevrimiçi kimliğinizi güvende tutmak için önemli araçlardır. Ne yazık ki hesabınıza saldıranlar da bunun farkındadır ve parolalarınızı ele geçirmek için çok çeşitli yöntemlere sahiptir.

    But you can defend against those tricks by applying a few important tools and tactics. The most effective strategy is to make passwords that are LONG, RANDOM, and UNIQUE. To do this reliably, you will need to use a secure password manager. It is also important to set up multi-factor authentication whenever possible.

    Parolalarınızın Tehlikede Olup Olmadığını Öğrenin

    • Hesaplarınızın güvenliğine yönelik herhangi bir ihlal bildirimi alıp almadığınızı kontrol etmek için "Bilgilerim sızdırılmış mı" araması yapın.
      • Arama sonucuna göre aşağıdaki şifre yöneticisi ayarlama talimatlarını kullanarak hesap şifrelerinizi hemen değiştirin.
    • Arama sonucunda herhangi bir hesap bilgilerinizin sızdırıldığına dair bir sonuç görmeseniz bile aşağıdaki talimatları uygulamalısınız zira pek çok veri ihlali bildirilmez.
    Bu adımı neden öneriyoruz

    Saldırganlar genellikle halihazırda gizliliği ihlal edilmiş, çevrimiçi olarak erişebilecekleri parolaların peşine düşer ve hesaplarınıza erişmek için doğru şifreyi bulana kadar çeşitli şifreler denerler. Bu bağlamda aynı şifreyi tekrar tekrar kullanmak özellikle güvenlik açısından ciddi risk arz eder. Parolalarınızın saldırganların kullandığı listelerde olup olmadığını öğrenmek için ‘Have I been pwned’ adresini kontrol edin.

    Zayıf Parolalar Oluşturmaktan Kaçının

    Saldırganların parolanızı öğrenmesinin en yaygın yolları şunlardır:

    1. Saldırganlar aşağıdaki durumlarda parolalarınızı tahmin edilebilir:
      • Önemli tarihler, isimler, alıntılar, sevdiğiniz şarkılar veya yazarlar gibi kişisel bilgileri kullanmak,
      • Sözlüğe dayalı olarak şifre oluşturmak,
      • Daha önce kullandığınız şifreleri kısmi değişikliklerle yeniden kullanmak,
      • Parolanızı kırmak için muhtemel tüm kombinasyonları deneyecek yazılımlar aracılığıyla.
    2. Parolalarınıza aşağıdaki durumlarda basit bir aramayla erişebilirler:
    3. Sizi tuzağa düşürebilirler:
      • Şifrelerinizi çalmak için kötü amaçlı bir yazılım yükleyebilirler,
      • Kimlik avı yöntemleriyle şifrenizi sahte bir giriş sayfasına yazmanızı sağlayabilirler
      • Müşteri destek uzmanı veya tanıdığınız biri gibi davranarak şifre veya diğer kişisel bilgilerinizi ele geçirebilirler (sosyal mühendislik yöntemi olarak bilinir)
    4. Güvenlik açıklarından yararlanabilirler:
      • Şifreyi kullandığınız web sitesini hackleyebilirler
      • Web tarayıcısına kaydettiğiniz şifreleri ele geçirebilirler
      • Telefon uygulamalarından şifrelerinizi çalabilirler

    Kendinizi bu türden saldırılara karşı korumak için şu adımları uygulayın:

    • Hesaplarınıza giriş yapmak ve hassas bilgiler içeren verilerinizi işlemek için her zaman güvendiğiniz, güncellemesi yapılmış, korumalı ve virüs olmayan bir cihaz kullanın.

    • Tek başına aşağıdaki yöntemleri kullanarak şifre oluşturmak parolalarınızı güvenli YAPMAZ:

      • Kendinizle, çevrenizdeki kişilerle ve ilişkide olduğunuz kuruluşlarla alakalı sözcük ve sayıları kullanmak. Mesela:
        • insanların, evcil hayvanların ya da kurumların isimleri
        • doğum günleri, önemli yıldönümleri ya da tatiller
        • telefon numarası ve adresler
        • veya üçüncü kişilerin basit bir araştırma sonucu siz ve çevrenizdeki insanlar hakkında öğrenebileceği bilgiler
      • Ünlü alıntılar, şarkı sözü ve şiir gibi yaygın ifadeleri kullanmak.
      • Harfleri benzer sembollerle değiştirmek (a’yı @ ile değiştirmek gibi)
      • Sonuna ünlem işareti, numara veya diğer noktalama işaretleri koymak
      • Her Kelimeye Büyük Harfle Başlamak
      • Herhangi bir sözlükten tek bir kelime seçmek
      • Şifrenizi sürekli değiştirmek

    Kendinizi bu türden saldırılara karşı korumak için şu adımları uygulayın:

    Şifre Yöneticisi Programı Kullanın

    • KeePassXC (Linux, Mac veya Windows), KeePassDX (Android), veya StrongBox (iOS) uygulamalarını cihazınızın yazılımına göre edinin.
    • Aynı şifreleri TEKRAR TEKRAR KULLANMAYIN.
    • Şifre yöneticisinin her oturum için ayrı, uzun, rastgele ve özgün parola oluşturması ve kaydetmesine izin verin.
    • Şifre yöneticisini iş arkadaşlarınızla beraber kurabilir ve ayarlama sürecinde birbirinize yardımcı olabilirsiniz.
      • Güvenli bir şekilde parola paylaşmayı öğrenmeniz iyi olacaktır. Ancak, eğer mümkünse tek bir hesaba sahip olup onun şifresini paylaşmak yerine daha güvenli olan farklı hesaplarla ayrı oturumlar oluşturmayı tercih edin.
    • [KeePassXC] (../../tools/keepassxc/) ve [KeePassDX] (../../tools/keepassdx) kullanımına ilişkin açıklamaları okuyun.
    • Çevrimiçi bir şifre yöneticisine ihtiyacınız varsa, aşağıdaki bölümü inceleyin.
    Bu adımı neden öneriyoruz

    İnsan zekâsı tüm elektronik cihaz ve hesaplarını güvende tutmak için uzun, rastgele ve özgün şifreler oluşturacak ve bunların hepsini hatırlayacak kadar güçlü değildir. Parola yöneticisi bu anlamda sizin için şifreleri üretir, saklar ve korur.

    Kullanımları ücretsiz olan, topluluk uzmanları tarafından güvenilirliği doğrulanmış ve sürekli güncellenen KeePassXC, KeePassDX, ve StrongBox yazılımlarından birini kullanmanızı öneririz. Bu uygulamalar parolaları verilerin nerede depolandığını ve nasıl yönetildiğini her daim takip edebileceğiniz, yani sürekli kontrole sahip olduğunuz çevrimdışı bir veri tabanında saklar.

    Şifre Yöneticisi Programının Veri Tabanını Yedekleyin

    Bu adımı neden öneriyoruz

    Herhangi bir parolayı kaybettiğinizde ya da unuttuğunuzda olduğu gibi, şifrelerin hepsini veya birçoğunu aynı anda kaybetmek arkadaşlarınızla olan iletişimi yitirmenize veya mali kayıp yaşamanıza yol açabilir. Bu açıdan veri tabanınızın sürekli olarak yedeklenmesi önem arz etmektedir.

    Güvenli Birkaç Şifreyi Unutmayın

    • Şifre yöneticiniz ve hatırlamanız gereken diğer parolaları (cihazlarınız veya şifre yöneticiniz gibi) oluşturmak için Diceware yönteminikullanın:
      • Numaralandırılmış kelime listesini edinin ve elinize bir zar alın.
      • Beş basamaklı bir sayı elde etmek için beş defa zarı atın (6, 2, 5, 1, 1 gibi).
      • Çıkan beş basamaklı sayının listedeki karşılığını bulun.
      • Bu adımları beş kez tekrarlayın ve oluşan beş kelimeyi "anahtar" olarak kullanın.
        • Bu ana şifreyi başka herhangi bir yerde kullanmayın.
      • Bunu takiben kelimeleri sırayla kullanarak bir cümle haline getirin ve bunu hatırlamanıza yardımcı olacak bir çağrışım oluşturun
    • Bu parolaları düzenli olarak, önce her gün ve ardından en az haftada bir kez girecek şekilde alıştırma yapın. Bu tekrarlar bu parolaları hatırlamanıza yardımcı olacaktır.
    Bu adımı neden öneriyoruz

    Şifre yöneticinizin ana şifresi de dahil olmak üzere ezberlemeniz gereken birkaç şifre mevcuttur. Sizin için hatırlaması kolay 'parola kırma' yazılımına sahip saldırganlar için tahmin etmesi son derece zor parolalar oluşturmanıza yardımcı olabilecek stratejilerden yararlanın.

    Parola Yöneticisinin Dışında Tutmanız Gereken Şifre ve Yedek Kodlar Varsa

    • Bir kâğıda yazmanız icap eden şifreler varsa, bu kağıtları kasa veya masanızın çekmecesi gibi kilitli yerlerde muhafaza edin.
      • Parolalarınızın etraftakiler tarafından görülmemesi veya bulunup kopyalanması kolay olmamalıdır.
      • Şifreleri not aldığınız kağıtlarını cüzdanınızda saklamayın.
    • İhtiyacınız sonlandığı anda kâğıda yazdığınız şifre veya yedek kodların tüm kopyalarını imha edin.
    • Alternatif olarak bu parolaları başka bir cihazda kaydedebilir, notların arasında hiçbir açıklama koymadan gizleyebilirsiniz.
    Bu adımı neden öneriyoruz

    Uzun parolaları hatırlamak çok zor olabilir. Şifre yöneticinize kaydedemeyeceğiniz parolaları (cihazlarınızın giriş şifreleri gibi) yazıp fiziki olarak güvenli yerlerde saklamayı göz önünde bulundurabilirsiniz.

    Bir Çevrimiçi Şifre Yöneticisi Kullanmaya Karar Verirseniz

    • Hassas bilgileri (çevrimiçi finansal hesaplarınızı veya kurtarma hesaplarının oturum açma bilgileri gibi) veri tabanında depolamaktan kaçının.
    • Çevrimiçi veri tabanınızı iki faktörlü kimlik doğrulama ile koruyun.
    • Çevrimiçi şifre yöneticisi olarak Bitwarden öneriyoruz.
    Bu adımı neden öneriyoruz

    Çevrimiçi cihazlar arasında kendiliğinden senkronize olan şifre yöneticilerini kullanmak daha basittir zira parola veri tabanınızı şifrelenmiş sunucularda saklarlar. Ancak çevrimiçi parola yöneticileri bir saldırganın veri tabanının şifresini çözmesi ve/veya bilginiz olmadan parolalarınıza erişmesi gibi ek riskler barındırır.

    KeePassXC, KeePassDX ve StrongBox'u çevrimiçi olarak şifre saklamadıkları için tavsiye ediyoruz. Çevrimiçi bir şifre yöneticisi kullanmaya karar vermeniz durumunda, korumayı güçlendirmek için bu adımları uygulamanızı bu sebeple tavsiye ediyoruz.

    Eğer Parolanızı Paylaşmanız Gerekirse

    • Eğer mümkünse parolalarınızı paylaşmaktan kaçının:
      • Eğer şifrenizi bir arkadaşınızla, aileden biriyle ya da bir iş arkadaşınızla paylaşmanız gerekirse, şifrenizi geçici olarak değiştirin ve bu geçici şifreyi paylaşın. Şifreyi paylaştığınız kişinin parolayla işi bittiğinde yeniden güvenli bir şifre oluşturun.
      • Erişime ihtiyacı olan her kişi için ayrı hesap oluşturmayı değerlendirin, birçok servis sağlayıcıda bunu yapmak mümkündür. Ayrıca bu hesapların yapmasına ve görmesine izin verilen işlemleri belirleyip sınırlandırabilirsiniz. Android, iOS, Linux, Mac, ve [Windows](../../phones-and-computers/windows/s için temel güvenlik rehberinde bunun nasıl yapılacağına ilişkin açıklamaları bulabilirsiniz.
      • Diğer kişilerle birlikte kullanabilmek için şifre yöneticinizi ayarlayabilirsiniz, KeePassXC bunu sağlayacak olanaklara sahiptir
    Bu adımı neden öneriyoruz

    Şifrenize dair her paylaşım, fazladan bir anahtar yaptırıp birine vermek ya da kapınızı ve pencerelerinizi açık bırakıp hırsıza davetiye çıkarmanız gibidir. Aslında şifre paylaşımı diğerlerinden daha çok tehlike arz eder zira pek çok ‘kapı’ ve ‘pencerenize’ siz fark etmeksizin uzaktan bir cihazdan erişim sağlanabilir. Mümkün olduğunca şifreleri paylaşmaktan kaçınarak açık kapıların neden olduğu ‘saldırı yüzeyi’ni küçültün.

    Birinden E-Posta, Mesaj ve Arama Geldiğinde Şifrenizi Paylaşmayın

    • Talebi doğrulamak için size mesajı gönderdiği varsayılan servisin uygulamasını veya web sitesini açın.
    • Eğer mesajı gönderen sizin tanıdığınız bir kişi veya bildiğiniz iş yeriyse, talebin onlardan geldiğini doğrulamak için başka bir iletişim kanalı kullanarak bu kişilerle irtibata geçin.
      • Mesela mesaj e-posta ile iletildiyse, arayın.
      • Gönderilen e-postadaki linklere tıklamayın veya cevap yazmayın.
    • Bu mesajların sizi korkutmaya, meraklandırmaya, bir fırsatı kaçıracağınızı hissettirmeye ya da hızlı ve düşünmeden hareket etmenize neden olmaya çalıştığının farkında olun. Durun, sakin kalın ve bu gibi mesajları doğrulamanın başka yollarını düşünün.
    Bu adımı neden öneriyoruz

    Saldırganlar, bizi hassas bilgileri paylaşmamıza ikna etmek için genellikle olmadıkları biri gibi, mesela bir banka veya teknik destek uzmanı gibi davranırlar. Saldırganlar, paylaşmamamız gereken bilgileri elde etmek için genellikle duygularımıza ve vicdanımıza oynarlar.

    Eğer sizden şifrenizi ya da diğer hassas bilgilerinizi paylaşmanızı isteyen bir mesaj, e-posta veya arama gelirse veya bir e-posta ya da mesaj bağlantısı size bu tür bilgileri sorarsa bu tür bilgiler paylaşmanızı isterse, birinin sizi kandırarak bilgilerinizi elde etmeye çalıştığı ihtimal dahilindedir.

    Şifrenizi Ne Zaman Değiştirmelisiniz

    Change your password immediately when:

    • it appears your account, devices, or colleagues and people around you have been victims of a breach.
    • you get a credible warning from the services you use that there was an attempt to log in from an unauthorised device or location.
      • Look for news reports about breaches.
      • If you receive an email or alert, double-check on the service provider's own website that they sent the alert.
    • you entered your password on an untrusted, shared, or public device (it might have malicious code installed).
    • you are concerned that someone watched you type your password.

    Etkilenmiş olabilecek diğer kişileri de uyararak ortaya çıkacak olası zararı en aza indirin.

    Android, iOS, Linux, Mac, ve Windows için temel güvenlik rehberinde ve sosyal medya rehberinde şifreleri nasıl değiştireceğinize ilişkin açıklamaları bulabilirsiniz.

    Bu adımı neden öneriyoruz

    Araştırmalar, şifrenizi tekrar tekrar değiştirmenin güvenlik seviyesini artırmadığını gösteriyor. İnsanlardan parolalarını değiştirmeleri istendiğinde, yeni bir parola oluşturmak yerine mevcut parolada küçük değişiklikler yaptığı gözlemler arasında. Araştırma hakkında daha fazlasını buradan okuyabilirsiniz.

    Bir veri ihlali olduğunda şifrenizi değiştirmeniz daha önemlidir. Ancak verilerin ne zaman sızdığını bilmediğimiz için, şifrelerin birkaç ayda bir yahut yılda bir veya güvenliğe dair haklı bir endişenizin olması durumunda gecikmeksizin değiştirilmesini öneririz.

    Nerede Olduğunuza ve Etraftan Görülebilir Olup Olmadığına Dikkat Edin

    • Eğer kamusal bir alanda şifrenizi giriyorsanız, başkaları tarafından görülmediğinizden veya görüntü alınmadığından emin olun.
    • Parolanızı yazarken telefonunuz ya da klavyenizin birileri tarafından gözlemlenip gözlemlenmediğini kontrol edin.
    • Ne yazdığınızın görülmesini engellemek/zorlaştırmak için gizlilik sağlayan hayalet ekran koruyucular kullanın.
    Bu adımı neden öneriyoruz

    Size muhalif gruplar veya sizi hedefleyenler sizi takip edebilir ve şifrenizi girerken kayıt altına alabilir. Bir aktivistin telefonuna asılsız bir ayaklandırmaya teşvik suçlamasıyla el konuldu. Gözaltındaki aktivist telefonunun şifresini savcılıkla paylaşmayı reddetmesine rağmen savcılık aktivistin günlük rutinini inceleyerek telefonun şifresini açarak verilere erişebildi. Savcılık, aktivistin yaşadığı apartmanın asansöründeki güvenlik kamerasını buldular ve güvenlik kamerası kayıtlarından onun şifreyi yazdığı görüntüleri elde ettiler.

    İki Faktörlü veya Çok Faktörlü Kimlik Doğrulama Kullanın (2FA ve MFA)

    • Hangi servis sağlayıcıların iki faktörlü kimlik doğrulama kullandığını kontrol edin.
    • İki faktörlü kimlik doğrulamayı özellikle aşağıdaki hesaplar için önemlidir:
      • banka hesaplarınız veya diğer finansal uygulamalar
      • e-posta adresiniz, sosyal medya hesaplarınız veya kurtarma hesaplarınız için kullanın
    • İki faktörlü kimlik doğrulamada çeşitli alternatifler mevcuttur:
      • Google Authenticator, Okta veya Duo gibi bir kimlik doğrulama uygulaması veya programı kullanabilirsiniz. Android sistemlerde Aegis uygulamasını veya iOS/iPhone'da ise Raivo OTP uygulamasını öneririz.
        • Bu seçeneği kullanırken, cep telefonunuzu kötü amaçlı yazılımlardan korumanız önem arz eder.
      • Cihazınıza takılabilecek veya Yakın Alan İletişimi (NFC) kullanmak üzere ayarlayabileceğiniz güvenlik belirteçleri, program anahtarları veya USB "anahtarı" gibi donanımlar kullanın.
        • Yubikey, Nitrokey, Google Titan Key ve Thetis Key bazı örneklerdir
        • Donanım cihazları mobil cihazlarla kullanıma uygun olmayabilir.
    • Birden fazla servis sağlayıcı için tek bir kimlik doğrulama uygulaması veya donanım cihazı kullanabilir veya ek koruma için farklı iki faktörlü kimlik doğrulama türlerini farklı servis sağlayıcılar için ayarlayabilirsiniz.
    • Yukarıda bahsedilen iki seçenek iki faktörlü kimlik doğrulama ayarlandığında kod oluşturmak için internet bağlantısı gerektirmez. Ancak iki faktörlü kimlik doğrulama için e-posta ayarlarsanız internet bağlantısı gerekir.
    • İki faktörlü kimlik doğrulama seçeneklerinden en güvenlisi kimlik doğrulama uygulaması veya harici donanım cihazlarıdır. Bunları e-posta ve SMS takip eder. Ancak başka bir ülkedeyseniz ve kapsama alanı dışındaysanız SMS alamayabilirsiniz.
      • SMS’ler şifrelenmez ve saldırganlar bu tek seferlik kodları başarıyla yakalar.
    • İki faktörlü kimlik doğrulamayı kurduktan sonra kullanıcı adı ve şifrenizi girdikten sonra kim olduğunuzu kanıtlamak için size gönderilen kodu da ek olarak girmek zorundasınız.
    • İki faktörlü kimlik doğrulamayı kurduktan sonra devre dışı bırakmayın. Bazı servis sağlayıcılar size kolaylık sunmak için korumayı devre dışı bırakmanızı isteyebilir, ancak bunun güvenliğinizi nasıl etkileyeceğini göz önünde bulundurun.
    Bu adımı neden öneriyoruz

    Oturum açarken birden çok koruma katmanının olması daha güvenlidir. Eğer birinci katmanı aşmayı başarabilirlerse, dijital varlığınızın korunması için güveneceğiniz ikinci katman olur. Başka bir cihaz ya da e-posta üzerinden ayarlanmış çok faktörlü veya iki faktörlü kimlik doğrulama bu türden bir koruma sağlar. Birçok kişi daha kolay bulsa da SMS olarak da bilinen kısa mesaj iki faktörlü kimlik doğrulama için en az güvenli seçenektir.

    İki faktörlü kimlik doğrulama ilk bakışta külfetli görünebilir, ancak her daim şunu hatırlayın: size kısmen zor gelen şey saldırganlar ve hesabınıza izinsiz erişmeye çalışan diğerleri için çok daha zordur. Hesaplarınızın kötü niyetli kişiler tarafından çalınması, ele geçirilmesi veya izlenmesi uzun vadede çok daha büyük bir zorluk yaratır.

    İki Faktörlü Kimlik Doğrulama İçin Oluşturduğunuz Yedek Kodları Güvende ve Ayrı Tutun

    • İki faktörlü kimlik doğrulamayı kurarken eğer yedek kod paylaşıldıysa bunları şifre yöneticinize kaydedip saklayın.
    • En ideal yöntem bu kodları ayrı bir KeePassXC veri tabanı oluşturarak hesaplarınıza erişmek için kullanacağınız diğer bilgilerden ayrı tutmak ve bu veri tabanını başka bir cihaza kaydetmektir.
    Bu adımı neden öneriyoruz

    İlk kez iki faktörlü kimlik doğrulamayı kurduğunuzda pek çok çevrimiçi servis size yedek kodlardan müteşekkil bir liste verir. Bu kodlar iki faktörlü kimlik doğrulama sırasında kullandığınız cihazın kaybolması durumunda hesabınıza erişmenizi sağlar. Bu kodların belirli bir kullanım süresi yoktur. Yedek kodları güvende tutmanız ziyadesiyle önemlidir zira bu kodlardan birine erişebilen biri hesabınıza da erişebilir.

    Yüz Tanıma ve Parmak İzi (Biyometrik Veriler) ile Kilit Açmaktan Kaçının

    • Cihazınız, yüzünüzü veya parmak izinizi kullanarak kilit açacak şekilde ayarlıysa, şifre kullanarak kilit açacak şekilde ayarlarınızı değiştirin.
    • Android, iOS, Linux, Mac ve Windows için temel güvenlik rehberinde bunun nasıl yapılacağına ilişkin açıklamaları bulabilirsiniz.
    Bu adımı neden öneriyoruz

    Biyometrik veriler, parmak izi veya yüz gibi kişisel özelliklerinizi kullanarak cihazlarınıza daha hızlı erişmenizi sağlayabilir. Ancak bunlar genellikle cihaz ve hesaplarınızı kilitlemek için çok güvenli değildir. Bir şifrenin aksine, parmak izinizi değiştiremezsiniz. Pek çok insan biyometrik verilerini devlet daireleri, havaalanları vb. gibi yerlere bırakmaları gerekmektedir. Bu, birisinin sizin onayınız olmadan hesaplarınıza erişmesi riskini taşır. Dahası, peşinizde olanlar sizi fiziksel olarak zorlayıp kısıtlarsa, cihazın kilidini bu yolla kaldırabilir. Oysa şifre kullanmanız onların kilidi açmalarını ciddi anlamda zorlaştırır.

    Kuvvetli Kurtarma Soruları Oluşturun

    Birçok web servisi hesap oluştururken ‘güvenlik sorusu’ veya ‘kurtarma sorusu’ belirlemenizi ister. Birisinin bunları tahmin etmesini daha az olası kılmak için şu adımları takip edin: ‐Bu sorulara gerçek olmayan alakasız cevaplar verin. ‐Parola yöneticiniz tarafından oluşturulan rasgele, özgün bir kod bile kullanabilirsiniz. ‐Unutmamak için yanıtlarınızı ve kullandığınız diğer sahte bilgileri parola yöneticinize kaydedin.

    Bu adımı neden öneriyoruz

    Recovery questions are important to helping services verify your identity if they suspect someone else is trying to access your account. You use these answers to change your password in case you lose access to your account. Unfortunately, your answers to questions like "What town were you born in?" or "What is your pet's name?" can be easy to find online. By giving fake answers, you can make it harder for an attacker to hijack your account.

    Daha Fazla Bilgi İçin