Şifre Gücü Neden Önemli
Çoğu insan her yerde aynı birkaç şifreyi yeniden kullanır. Bu, bir hizmette yaşanan bir sızıntının — 2014'te kayıt olduğunuz bir forum gibi — saldırganlara e-postanızın, bankanızın, bulut depolamanızın anahtarlarını verdiği anlamına gelir. Kimlik bilgisi doldurma saldırıları, çalınmış kullanıcı adı/şifre çiftlerini binlerce hizmette otomatik olarak test eder. Saniyeler sürer.
Kaba kuvvet saldırıları hızlandı. Modern bir GPU saniyede milyarlarca şifre kombinasyonunu test edebilir. Yalnızca küçük harf kullanan 8 karakterli bir şifrenin yaklaşık 209 milyar olasılığı vardır — tek bir RTX 4090 bunu bir dakikadan kısa sürede kırana kadar bu çok gibi gelir. Büyük harf, sayı ve sembol ekleyin, daha fazla zaman kazanın. Ancak gerçek çarpan uzunluktur. Her ek karakter, arama uzayını üstel olarak çarpar.
Karışık karakter türlerine sahip 20 karakterli rastgele bir şifrenin yaklaşık 130 bit entropisi vardır. Saniyede trilyon tahminle kırmak evrenin yaşından daha uzun sürer. Saniyelerde düşen bir şifre ile ulus-devlet saldırganlarına dayanan bir şifre arasındaki fark budur.
Bir Şifreyi Güçlü Yapan Nedir
Uzunluk karmaşıklığı yener
Bir şifreye bir karakter eklemek, bir harfi sembol ile değiştirmekten güvenlik için daha fazlasını yapar. 16 karakterli yalnızca küçük harfli bir şifre (75 bit entropi) büyük harf, küçük harf, sayı ve sembol içeren 10 karakterli bir şifreden (66 bit) daha güçlüdür. Uzunluk kazanır çünkü arama uzayı hesabındaki üssü artırır.
Rastgelelik tartışılmaz
İnsanlar rastgele dizeler üretmekte berbattır. Sözlük kelimelerine, isimlere, tarihlere, klavye desenlerine yöneliriz. Saldırganlar bunu bilir ve bu desenlere öncelik verir. P@ssw0rd2024! gibi "rastgele" bir şifre karmaşık görünür ancak öngörülebilir bir ikame deseni izlediği için saniyeler içinde sözlük saldırısına yenik düşer. Gerçek rastgelelik, her karakterin diğer her karakterden bağımsız olması anlamına gelir — desen yok, anlam yok, yapı yok.
Her hesabın kendi şifresine ihtiyacı vardır
Dünyanın en iyi şifresi onu yeniden kullanırsanız değersizdir. Tek bir sızıntı onu açığa çıkarır. Saldırganlar yalnızca sızıntı yaşanan hizmeti denemez — Gmail, Amazon, bankacılık portalları, sosyal medya gibi her büyük hizmeti dener. Hesap başına benzersiz şifreler patlama yarıçapını sınırlar. Biri ele geçirilirse diğerleri güvende kalır. Şifre yöneticilerinin var olma nedeni budur.
Karakter çeşitliliği marj ekler
Büyük harf, küçük harf, sayı ve sembol kullanmak olası karakter havuzunu 26'dan (yalnızca küçük harf) 95'e (tam yazdırılabilir ASCII) çıkarır. Aynı uzunlukta bu, entropide anlamlı bir artıştır. Uzunluğun yerini tutmaz, ancak iyi bir tamamlayıcıdır. Yazmayı bir şifre yöneticisi hallediyorsa tüm karakter türlerini etkinleştirmemek için hiçbir neden yok.
Yaygın Şifre Hataları
Her yıllık sızıntı raporundaki en yaygın şifre hâlâ "123456". İkincisi "password". Bunlar uç durumlar değil — gerçek hizmetlerdeki milyonlarca gerçek hesabı temsil ederler.
a yerine @, o yerine 0 veya e yerine 3 gibi öngörülebilir ikameler kimseyi kandırmaz. Kırma araçları bu ikame kurallarını varsayılan olarak içerir. "P@55w0rd" "password"den çok az daha güvenlidir.
Kişisel bilgiler — evcil hayvan adları, doğum günleri, sokak adresleri, telefon numaraları — hedefli bir saldırganın denediği ilk şeydir. Sosyal medya bu bilgiyi bulmayı son derece kolaylaştırır. Şifreniz köpeğinizin adını ve ardından bir yıl içeriyorsa zaten saldırganın kelime listesindedir.
Şifreler arasındaki artımlı değişiklikler (Password1, Password2, Password3) başka bir yaygın desendir. Saldırganlar bir sızıntıda bir sürüm bulduğunda artırılmış sayılar, eklenmiş yıllar ve değiştirilmiş noktalama işaretleri ile varyasyonları otomatik olarak üretir ve dener. Tek güvenli yaklaşım her hesap için tamamen rastgele, tamamen bağımsız şifrelerdir.
Bu Oluşturucu Nasıl Çalışır
Bu araç tamamen tarayıcınızda çalışır. Bir şifre oluşturduğunuzda tarayıcınız crypto.getRandomValues()'yi çağırır — işletim sisteminizin kriptografik olarak güvenli rastgele sayı üretecinden rastgelelik çeken bir Web Crypto API. Windows'ta bu BCryptGenRandom'dır. Linux ve macOS'ta ise çekirdek entropi havuzu tarafından desteklenen /dev/urandom'dır. Çıktı, tüm pratik amaçlar için gerçek rastgelelikten ayırt edilemez.
Hiçbir şifre asla sunucularımıza gönderilmez. API çağrısı yok, analitik olayı yok, telemetri yok. Bunu tarayıcınızın ağ denetleyicisini açarak doğrulayabilirsiniz — sayfa bir kez yüklenir ve bundan sonra her yeniden oluşturma yerel olarak gerçekleşir. İnterneti kesin, araç hâlâ çalışıyor.
Entropi hesaplaması, karakter setini ve uzunluğu bilen ancak her kombinasyonu kaba kuvvetle denemek zorunda olan bir saldırganı varsayar. Kırılma süresi saniyede 1 trilyon tahmini varsayar; bu, tuzlanmamış bir hash'i hedefleyen GPU kümeli iyi finanse edilmiş bir saldırgan için gerçekçidir.
Şifre Yöneticileri
Güçlü bir şifre oluşturucu, yalnızca oluşturduğu şifreleri saklayıp alma yolunuz varsa kullanışlıdır. Şifre yöneticileri burada devreye girer. Tüm kimlik bilgilerinizi tek bir ana şifre tarafından korunan şifrelenmiş bir kasada saklar. Bir şifre hatırlarsınız. Yönetici gerisini halleder.
Önerilen seçenekler
Bitwarden ücretsiz, açık kaynaklı ve denetlenmiştir. Cihazlar arasında senkronize olur, her büyük platformda otomatik doldurmayı destekler ve TOTP doğrulayıcı desteğine sahip ücretli bir katman sunar. Bir yönetici seçiyor ve hiçbir şey ödemek istemiyorsanız Bitwarden cevaptır.
1Password, özellikle Apple platformlarında en cilalı kullanıcı deneyimine sahiptir. Ücretsiz değildir (ayda $3), ancak arayüz mükemmeldir ve ekip paylaşım özellikleri aileler ve işletmeler için iyi tasarlanmıştır.
KeePass tamamen çevrimdışıdır. Kasanız, kontrol ettiğiniz yerel şifreli bir dosyadır. Bulut senkronizasyonunun olmaması, ihlal edilecek bir sunucu olmadığı anlamına gelir. Ödün rahatlıktır — senkronizasyonu kendiniz halletmeniz gerekecek (Syncthing, Dropbox, USB sürücü). Maksimum kontrol isteyenler için en iyisi.
Hangisini seçerseniz seçin, yöneticinin kendisinde iki faktörlü kimlik doğrulamayı etkinleştirin. Ana şifreniz uzun, akılda kalıcı ve benzersiz olmalıdır — 4-5 rastgele kelimelik bir parola iyi çalışır. Yönetici, tüm dijital yaşamınız için tek başarısızlık noktasıdır. Buna göre koruyun.
Sık Sorulan Sorular
Bu şifre oluşturucu kullanmak güvenli mi?
Evet. Bu oluşturucu tamamen tarayıcınızda Web Crypto API'sini (crypto.getRandomValues) kullanarak çalışır. Hiçbir şifre herhangi bir sunucuya gönderilmez, hiçbir veritabanında saklanmaz veya hiçbir yerde günlüğe kaydedilmez. İnternet bağlantınızı keserek bunu doğrulayabilirsiniz — araç hâlâ çalışır.
Şifrem ne kadar uzun olmalı?
Önemli hesaplar için en az 16 karakter. 20 veya daha fazlası daha iyidir. Uzunluk karmaşıklıktan daha önemlidir — 20 karakterli yalnızca küçük harfli bir şifre, büyük harf, sayı ve sembol içeren 8 karakterli bir şifreden daha güçlüdür. Bir şifre yöneticisi kullanıyorsanız (kullanmalısınız), yazmaya gerek olmayacağı için 20+ karaktere ayarlayın.
Bir şifreyi güçlü yapan nedir?
Üç şey: uzunluk, rastgelelik ve benzersizlik. Uzunluk olası kombinasyon sayısını üstel olarak artırır. Rastgelelik desen, kelime veya kişisel bilgi içermemesi anlamına gelir — yalnızca bir makine onu üretmelidir. Benzersizlik her hesabın farklı bir şifre alması anlamına gelir. Biri ele geçirilirse diğerleri güvende kalır.
Şifre yöneticisi kullanmalı mıyım?
Kesinlikle. Bir şifre yöneticisi tüm şifrelerinizi tek bir ana şifrenin arkasındaki şifreli bir kasada saklar. İyi seçenekler arasında Bitwarden (ücretsiz, açık kaynaklı), 1Password ve KeePass bulunur. Bir şifre yöneticisi kullanmak, hiçbirini hatırlamak zorunda kalmadan her hesap için uzun, rastgele, benzersiz şifreler kullanabileceğiniz anlamına gelir.
crypto.getRandomValues nasıl çalışır?
crypto.getRandomValues, işletim sisteminizin rastgele sayı üretecini (Linux'ta /dev/urandom veya Windows'ta BCryptGenRandom gibi) kullanarak kriptografik olarak güvenli rastgele sayılar üreten bir Web Crypto API'sidir. Öngörülebilir bir algoritma kullanan Math.random()'un aksine, crypto.getRandomValues bir saldırgan uygulamayı bilse bile öngörülemeyecek çıktı üretir.