Güçlü Parolalar Oluşturma ve Koruma

Güncellendi 28 March 2024

Parolalar, verilerinizi ve çevrimiçi kimliğinizi güvende tutmak için önemli araçlardır. Ne yazık ki hesabınıza saldıranlar da bunun farkındadır ve parolalarınızı ele geçirmek için çok çeşitli yöntemlere sahiptir.

Ancak birkaç önemli araç ve taktik uygulayarak bu hilelere karşı kendinizi savunabilirsiniz.

Parolalarınızı koruyun

Always use a secure, updated, protected and trusted device to access your accounts and manage your sensitive information, including passwords. Read the guides on Phones and Computers to learn how to make sure your device is secure.

Bir parola yöneticisi kullanın. Hiçbir insan beyni, tüm cihazlarını ve hesaplarını güvende tutmak için yeterince uzun, rastgele ve benzersiz parolalar geliştirecek ve hatırlayacak kadar güçlü değildir. Bir parola yöneticisi bu parolaları sizin için oluşturur, saklar ve şifreleme ile korur. Hangi parola yöneticilerini kullanabileceğiniz ve bunları nasıl kullanacağınız hakkında daha fazla bilgiyi edinebilirsiniz parola yöneticileri kılavuzumuzdan edinebilirsiniz.

İki faktörlü kimlik doğrulama (2FA veya MFA) kullanın. Çok faktörlü kimlik doğrulama (MFA) olarak da adlandırılan iki faktörlü kimlik doğrulama (2FA) giriş sistemine ikinci bir doğrulama faktörü ekler. Birisi şifrenizi tahmin etmeyi başarsa bile giriş yapamayacağından 2FA kullanarak emin olabilirsiniz, çünkü elde edilmesi daha güç olan ikinci bir faktöre ihtiyaç duyulur. 2FA’yı en güvenli biçimde nasıl kullanabileceğinizi öğrenmek için iki faktörlü kimlik doğrulama kılavuzumuza göz atın.

Parola ve hesaplarınızı en yaygın biçimde görülen saldırılardan nasıl koruyacağınız hakkında daha fazla bilgi edinmek için aşağıdaki bölümlere göz atın.

Daha güçlü bir şifre oluşturma

Kısaca, ihtiyacınız olan tüm şifreleri çevrimdışı bir şifre yöneticisi ile oluşturmanızı ve hatırlayabileceğiniz birkaç uzun parola kullanarak şifre yöneticisini ve şifre yöneticisi veritabanını yüklediğiniz cihazı açmanızı öneriyoruz.

Tüm parolalarınızı kendiniz oluşturmayı tercih ediyorsanız, parolanızın yeterince güçlü olduğundan emin olmak için asgari düzeyde yapmanız gerekenler şunlardır:

Uzun bir parola oluşturun - 12 karakter hedeflemeniz gereken asgari seviyedir. Yapabiliyorsanız, 14 karakter daha güvenlidir.

Parolanızda harf, rakam ve sembol kullanın.

Sadece aşağıdaki yöntemleri kullanarak şifre oluşturmanın parolalarınızı güvenli YAPMAYACAĞINI unutmayın. Ancak bunları güçlü bir parolaya ekleyerek parolanızı tahmin edilmesi daha zor hale getirebilirsiniz. Harfleri benzer sembol ve rakamlarla değiştirmek (mesela "a" yerine "@" veya "e" yerine "3" kullanmak). Bu parola kırmayı bilen kişiler tarafından iyi bilinen eski bir yöntemdir. Parolanın sonuna ünlem işareti, rakam veya diğer noktalama işaretleri eklemek - bu da parolanızı kırmaya çalışan biri tarafından tahmin edilebilecek bilinen bir yöntemdir. Her Kelimeye Büyük Harfle Başlamak - bu da parolanızı kırma girişimlerinde kullanılacak bilinen bir yöntemdir.



Ayrıca aşağıdaki önerileri unutmayın:

Herhangi bir sözlükten tek bir kelime seçip kullanmayın.

Ünlü alıntılar veya şiir ve şarkı sözlerinden cümleler gibi yaygın ifadeleri kullanmayın.

Kendinizle, çevrenizdeki kişi ve kuruluşlarla ilgili kelime ve sayıları kullanmayın: insanların, evcil hayvanların ya da kurumların isimleri, doğum günleri, önemli yıldönümleri ya da tatiller, telefon numarası ve adresler, ya da birilerinin siz ve çevrenizdeki insanlar hakkında araştırarak bulabileceği herhangi bir şey.

Parolalarınızı sık aralıklarla değiştirmeniz gerekmez. Parolanızı ne zaman değiştireceğinize karar vermek için Parolanızı ne zaman değiştirmelisiniz konusuna göz atın.

Güvenli Birkaç Şifreyi Unutmayın

Parola yöneticisi kullanıyor olsanız bile, parola yöneticisinin kurulu olduğu cihazı açmak ve güçlü ve eşsiz parolalarınızı sakladığınız parola yöneticisi veritabanına erişmek için birkaç güvenli parolayı ezberlemeniz icap etmektedir.

Hatırlayabileceğiniz güçlü parolalar oluşturmak için Diceware yöntemini kullanın: Numaralandırılmış kelimelerden oluşan bir liste ve 5 zar edinin. Beş basamaklı bir sayı elde etmek için beş zarı sallayın (6, 2, 5, 1, 1 gibi). Çıkan beş basamaklı sayının listedeki karşılığını bulun. Bu adımları altı kez tekrarlayın. Oluşan altı kelimeyi "anahtar" olarak kullanın. Bu anahtar parolayı başka herhangi bir yerde kullanmayın. Ardından, paroladaki kelimeleri sırasıyla kullanarak parolayı hatırlamanıza yardımcı olacak zihinsel bir görüntü oluşturun. Bu parolaları düzenli olarak, önce her gün ve ardından en az haftada bir kez girecek şekilde alıştırma yapın. Bu tekrarlar bu parolaları hatırlamanıza yardımcı olacaktır.

Eğer zarınız yoksa ve hatırlayabileceğiniz bir parola oluşturmanız gerekirse KeePassXC ile oluşturabilirsiniz.

Alternatively, you can use the "book method": Elinize mümkünse yürüttüğünüz faaliyetlerle ilgisi olmayan bir kitap alın. Kitabın rastgele bir sayfasını açın. Gözleriniz kapalı bir biçimde parmağınızı açık sayfa üzerinde gezdirerek rastgele bir kelime seçin. Bu adımı altı rastgele kelimeden oluşan bir parola oluşturana kadar altı kez tekrarlayın. Bu yöntem, özellikle ofisinizdeki bir kitabı kullanmanız durumunda, daha tahmin edilebilir olması sebebiyle daha az güvenli olduğunu unutmayın. Yazılım yüklemek istemiyorsanız ve rastgele bir dergi veya kitap seçerseniz, hatırlayabileceğiniz uzun bir parola oluşturmak için iyi bir alternatif olabilir.



Bu adımı neden öneriyoruz There will be a few passwords you must memorize, including the password to log in to the device where you have installed your password manager and the master password to your password manager. The diceware method can help you create passphrases that are easy to remember but extremely difficult to guess, even for an attacker who has a lot of time and skills and knows how to use "password cracking" software.

Eğer Parolanızı Paylaşmanız Gerekirse

Eğer mümkünse parolalarınızı paylaşmaktan kaçının: Eğer şifrenizi bir arkadaşınızla, aileden biriyle ya da bir iş arkadaşınızla paylaşmanız gerekirse, şifrenizi geçici olarak değiştirin ve bu geçici şifreyi paylaşın. Şifreyi paylaştığınız kişinin parolayla işi bittiğinde yeniden güvenli bir şifre oluşturun. Eğer bir hizmete birden çok kişinin erişmesi gerekiyorsa, her kişi için ayrı hesaplar oluşturmayı değerlendirin; birçok servis sağlayıcıda bunu yapmak mümkündür. Bu hesapların hangi eylemleri gerçekleştirebileceğini ve neleri görebileceğini sınırlayabilirsiniz. If you need to share access to your device, consider creating a separate account for that device. See the basic security guides for Android, Linux, macOS, and Windows for instructions on how to do this. On iOS devices this option is not available, unless you are using an iPad. See Shared iPad overview to learn how this works.

Parolalarınızı başkalarıyla paylaşmak istemeniz durumunda, KeePassXC ortak kullanıma uygun şekilde ayarlanabilir. Bunun nasıl yapılacağını öğrenmek için KeePassXC belgelerine göz atın.

Bu adımı neden öneriyoruz Bir parolayı her paylaştığınızda, evinizin anahtarından bir kopya yapıp başkasına vermiş gibi olursunuz: başkasının o anahtarı kaybetme riski ek olarak ortaya çıkar. Aslında şifre paylaşımı evinizin anahtarını vermekten daha risklidir daha risklidir zira “evinize” siz fark etmeden uzaktaki cihazlar tarafından kolayca erişim şifre paylaşımıyla mümkündür. Mümkün olduğunca şifreleri paylaşmaktan kaçınarak "saldırı yüzeyini" azaltın.

Parolalarınızın Tehlikede Olup Olmadığını Öğrenin

Hesaplarınızın ele geçirilmiş olarak rapor edilip edilmediğini görmek için ';--have i been pwned? web sitesini kontrol edin. Burada bulduğunuz hesabın parolasını parola yöneticisi kullanma bölümündeki talimatları izleyerek gecikmeksizin değiştirin.

Bu rehberdeki talimatları hesaplarınızdan hiçbiri burada görünmese bile pek çok hesap ihlali bildirilmediği için her halükarda izlemenizi öneririz.

Bu adımı neden öneriyoruz Saldırganlar daha önce gizliliği ihlal edilmiş, çevrimiçi olarak erişebilecekleri parolaların peşine düşer. Hesaplarınıza erişmek için doğru şifreyi bulana kadar çeşitli şifreler denerler. Bu bağlamda aynı şifreyi tekrar tekrar kullanmak özellikle güvenlik açısından ciddi risk arz eder. Parolalarınızın saldırganların kullandığı listelerde olup olmadığını öğrenmek için ';--have i been pwned? adresini kontrol edin.

Saldırganların şifrelerinizi nasıl tahmin edeceğini anlayın

Saldırganların parolanızı öğrenmesinin en yaygın yolları şu şekildedir:

Saldırganlar aşağıdaki durumlarda parolalarınızı tahmin edilebilir: Önemli tarihler, isimler, alıntılar, sevdiğiniz şarkılar veya yazarlar gibi kişisel bilgilerin kullanılması,

Sözlük kullanarak şifre oluşturulması,

Daha önce kullanılan şifrelerin kısmi değişikliklerle yeniden kullanılması,

Olası tüm kombinasyonları deneyecek yazılım kullanılması. Parolalarınıza aşağıdaki durumlarda basit bir aramayla erişebilirler: Parolalarınızı yazılı olarak açıkta tutmak masaüstündeki notlar ) gibi,

Parolanızı girerken el hareketlerinizden yazdığınızı takip etmek,

Halihazırda ihlal edilmiş ve çevrimiçi olarak erişilebilen parolalar kullanmak. Sizi tuzağa düşürebilirler: Parolalarınızı kaydetmek için kötü amaçlı bir yazılım yükleyebilirler,

Kimlik avı yöntemiyle şifrenizi sahte bir giriş sayfasına yazmanızı sağlayabilirler,

Müşteri destek görevlisi veya tanıdığınız biri gibi davranarak şifrelerinizi veya diğer kişisel bilgilerinizi elde etmek (sosyal mühendislik olarak da bilinir).

Hızlı hareket etmeniz için size baskı yapma veya duygularınıza hitap etme girişimlerini nasıl fark edebileceğinize yönelik girişimleri nasıl fark edebileceğiniz hakkında bilgi için kötü amaçlı yazılım kılavuzuna bakınız. Güvenlik açıklarından yararlanabilirler: Şifrenizle giriş yapmak istedikleri web sitesini hacklemek,

Tarayıcınızda depoladığınız şifreleri ele geçirmek,

Telefonunuzda kullandığınız uygulamalardan şifrelerinizi ele geçirmek.

Birinden E-Posta, Mesaj ve Arama Geldiğinde Şifrenizi Paylaşmayın

Talebi doğrulamak için size mesajı gönderdiği varsayılan servisin uygulamasını veya web sitesini açın. Farklı servis sağlayıcıların size gönderebileceği uyarıların örnek kayıtlarını görmek için sosyal medya kullanırken kendinizi ve verilerinizi koruma kılavuzuna göz atın.

Eğer mesajı gönderen sizin tanıdığınız bir kişi veya bildiğiniz iş yeriyse, talebin onlardan geldiğini doğrulamak için başka bir iletişim kanalı kullanarak bu kişilerle irtibata geçin. Mesela mesaj e-posta ile iletildiyse, arayın. Gönderilen e-postadaki linklere tıklamayın veya cevap yazmayın.

Bir mesaj sizi korkutmaya, meraklandırmaya, bir fırsatı kaçıracağınızı hissettirmeye ya da başka şekillerde hızlı ve düşünmeden hareket etmenizi sağlamaya çalışıyorsa, bu bir kimlik avı girişimi olabilir. Durun, sakin kalın ve bu gibi mesajları doğrulamanın başka yollarını düşünün.

Bu adımı neden öneriyoruz Saldırganlar, bizi hassas bilgileri paylaşmamıza ikna etmek için genellikle olmadıkları biri gibi, mesela bir banka veya teknik destek uzmanı gibi davranırlar. Saldırganlar, paylaşmamamız gereken bilgileri elde etmek için genellikle duygularımıza ve vicdanımıza oynarlar. Eğer şifrenizi ya da diğer hassas bilgilerinizi isteyen bir arama, e-posta veya mesaj alırsanız veya bir e-posta ya da mesaj bir bağlantı içeriyorsa ve sizden bu bilgiler için linke tıklamanızı istiyorsa, muhtemelen sizi oyuna getirmeye çalışan biri bulunuyordur. Hızlı hareket etmeniz için size baskı yapma veya duygularınıza hitap etme girişimlerini nasıl fark edebileceğinize yönelik girişimleri nasıl fark edebileceğiniz hakkında bilgi için kötü amaçlı yazılım kılavuzuna bakınız. Kimlik avı saldırılarından nasıl kaçınılacağına ilişkin daha fazla bilgiyi Surveillance Self-Defense Kılavuzu'nda bulabilirsiniz.

Şifrenizi Ne Zaman Değiştirmelisiniz

Şu durumlarda şifrenizi hemen değiştirin:

It appears your account, devices or colleagues and people around you have been victims of a data breach.

You entered your password on an untrusted, shared or public device (it might have malicious code installed).

Birinin sizi şifrenizi yazarken gördüğünden şüpheleniyorsanız.

Etkilenmiş olabilecek diğer kişileri de uyararak ortaya çıkacak olası zararı en aza indirin.

Also consider changing your password if you get a credible warning from the services you use that there was an attempt to log in from an unauthorized device or location. In such cases, go through the following steps to figure out whether your password may actually be compromised:

Look for news reports about data breaches.

If you received the alert through an email or chat message, double-check on the service provider's own website that they sent the alert. Never click links in emails, SMS messages or chat messages.

Cihazınızın parolasını nasıl değiştireceğinize dair talimatlar için sosyal medya kılavuzumuza ve Android, iOS, Linux, macOS ve Windows için temel güvenlik kılavuzlarına bakın.

Bu adımı neden öneriyoruz Araştırmalar, şifrenizi sürekli değiştirmenin güvenlik seviyesini artırmadığını gösteriyor. İnsanlardan parolalarını değiştirmeleri istendiğinde, yeni bir parola oluşturmak yerine mevcut parolada küçük değişiklikler yaptığı gözlemlenmiştir. Bu araştırma hakkında daha fazla bilgiyi Bruce Schneier'in parolaları sık sık değiştirmenin neden kötü bir güvenlik fikri olduğuna ilişkin yazısında bulabilirsiniz. Bir veri ihlali olduğunda parola değiştirmeniz daha önemlidir. Ancak verilerin ne zaman sızdığını bilmediğimiz için, özellikle çevrimiçi hizmetler için parolalarınızı birkaç ayda bir yahut yılda bir veya güvenliğe dair haklı bir endişenizin olması durumunda gecikmeksizin değiştirilmesini öneririz.

Nerede olduğunuza ve parolanızı yazarken kimin görebileceğine dikkat edin

Eğer kamusal bir alandaysanız ve parolanızı yazıyorsanız, başkaları tarafından görülmediğinizden veya görüntü alınmadığından emin olun.

Parolanızı yazarken telefonunuz ya da klavyenizin birileri tarafından gözlemlenip gözlemlenmediğini kontrol edin.

Ne yazdığınızın görülmesini engellemek/zorlaştırmak için gizlilik sağlayan hayalet ekran koruyucular kullanın.

Bu adımı neden öneriyoruz Adversaries can monitor and record you entering a password. If a mobile device is confiscated by the authorities, and they don't have the password to unlock it, they can, for example, study the daily routines of the owner of the device to find a CCTV that may have filmed the owner and the screen of the device while they were typing the password to unlock the device.

Yüz Tanıma ve Parmak İzi (Biyometrik Veriler) ile Kilit Açmaktan Kaçının

Cihazınız, yüzünüzü veya parmak izinizi kullanarak kilit açacak şekilde ayarlıysa, şifre kullanarak kilit açacak şekilde ayarlarınızı değiştirin.

Bu işlemi nasıl yapacağınıza dair talimatları Android, iOS, Linux, macOS ve Windows için temel güvenlik kılavuzlarında bulabilirsiniz.

Bu adımı neden öneriyoruz Biyometrik veriler, parmak izi veya yüz gibi kişisel özelliklerinizi kullanarak cihazlarınıza daha hızlı erişmenizi sağlayabilir. Ancak bunlar genellikle cihaz ve hesaplarınızı kilitlemenin daha az güvenli yoludur. Parolanın aksine, parmak izinizi değiştiremezsiniz. Pek çok insanın biyometrik verilerini devlet daireleri, havaalanları vb. gibi yerlere sunmaları gerekmektedir. Bu, birisinin sizin onayınız olmadan hesaplarınıza erişmesi riskini taşır. Dahası, peşinizde olanlar sizi fiziksel olarak zorlayıp kısıtlarsa, cihazın kilidini bu yolla kaldırabilir. Oysa şifre kullanmanız onların kilidi açmalarını ciddi anlamda zorlaştırır.

Nasıl ve ne zaman geçiş anahtarı kullanacağınızı değerlendirin

Bazı çevrimiçi platformlar kullanıcı adı ve parolanız yerine geçiş anahtarı kullanmanızı önerebilir.

Passkeys offer stronger protection against phishing, but rely a lot on biometrics and cloud sharing, which we don't recommend using for anything sensitive, let alone for credentials to log in to your accounts. If you think you may be exposed to advanced phishing attacks, however, you may choose to protect yourself against this threat with passkeys, and use them without biometrics or cloud sharing.

Bir geçiş anahtarını etkinleştirmek için ihtiyacınız olan şey ya geçiş anahtarı desteği olan bir parola yöneticisi ya da bilgisayarınıza veya telefonunuza takılı bir güvenlik anahtarı veya yüksek güvenlikli bir çiptir. Çoğu durumda insanlar, bulut tabanlı bir parola yöneticisi veya parmak izi veya yüz gibi biyometrik veriye dayalı cihaz kilitleme yöntemi ile geçiş anahtarlarının kilidini açar.

Ancak bu şekilde kullanmak gerçekten gerekli değidirl: pek çok durumda, geçiş anahtarlarınızı daha güvenli yollarla, fiziksel bir güvenlik anahtarında veya bilgisayarınız ya da telefonunuza takılı yüksek güvenlikli bir çipte saklayabilirsiniz. Bu çipi biyometrik veri yerine bir parola ile kilitlemenizi öneririz.

Geçiş anahtarlarını, KeePassXC tarayıcı entegrasyonunu etkinleştirerek KeePassXC ile saklayabilirsiniz, ancak bu çözüm donanım cihazları ve yüksek güvenlikli çiplere dayanan diğer çözümlerden daha az güvenli olarak kabul edilmelidir zira tarayıcınıza bağlı olduğu için tarayıcı tabanlı saldırılara maruz kalacaktır.

Kuvvetli Kurtarma Soruları Oluşturun

Birçok web servisi hesap oluştururken ‘güvenlik sorusu’ veya ‘kurtarma sorusu’ belirlemenizi ister. Bunların tahmin etmesini daha zorlaştırmak için şu adımları takip edin:

Bu sorulara gerçek olmayan alakasız cevaplar verin.

Parola yöneticiniz tarafından oluşturulan rasgele, özgün bir kod bile kullanabilirsiniz.

Yanıtlarınızı ve kullandığınız parola yöneticinize kaydedin, böylece kurtarma sorularını unutma ve hesaba erişememe riskiyle karşılaşmazsınız.

Bu adımı neden öneriyoruz Servis sağlayıcıları başka birinin hesabınıza erişmeye çalışması durumunda kimliğinizi doğrulamaya yardımcı olması için kurtarma sorularını kullanır. Hesabınıza erişiminizi kaybetmeniz durumunda şifrenizi değiştirmek için bu sorulara verdiğiniz yanıtları kullanırsınız. ‘Doğum yeriniz neresi?’ veya ‘Evcil hayvanınızın adı nedir’ gibi soruları ne yazık ki çevrimiçi olarak bulmak kolay olabilir. Bu sorulara sahte cevaplar vererek, bir saldırganın hesabınızı ele geçirmesini zorlaştırabilirsiniz.

