Parola, 2FA ve Passkey: Hesaplarınızı Kıramayacakları Hale Getirin

Hızlı Cevap: Modern hesap güvenliğinin üç temeli var. Birincisi parola: güçlü parola artık karmaşık değil, uzun ve benzersizdir; NIST'in 2025 kılavuzu tek faktörlü parolalar için en az 15 karakter önerir, karakter karışımı dayatmaz ve zorunlu periyodik değişimi kaldırır. İkincisi çok faktörlü doğrulama: bir şifre çalınsa bile ikinci faktör hesabı korur, ama SMS kodu en zayıf biçimdir. Üçüncüsü passkey: paylaşılan gizli sır içermediği için kimlik avına yapısal olarak dayanıklıdır. Sıralama nettir: her hesaba benzersiz uzun parola, üstüne phishing dirençli çok faktörlü doğrulama, mümkün olan her yerde passkey.

Yıllarca bize "büyük harf, rakam, sembol karıştır ve her üç ayda bir değiştir" denildi. Bu öğüt artık geçerli değil ve ironik biçimde güvenliği zayıflatıyordu, çünkü insanlar Parola1!, Parola2! gibi tahmin edilebilir kalıplara yöneliyordu. Standartlar değişti.

1. Parola: uzunluk karmaşıklığı yener

ABD standartlar enstitüsü NIST'in 2025'te yayımlanan SP 800-63B-4 kılavuzu parola kurallarını köklü biçimde güncelledi:

  1. En az 15 karakter. NIST, tek faktör olarak kullanılan parolaların en az 15 karakter olmasını ister.
  2. En az 64 karaktere izin. Uzun parola cümleleri (passphrase) için sistemler en az 64 karaktere izin vermelidir.
  3. Karmaşıklık kuralı dayatma. NIST, karakter türü karışımı gibi kompozisyon kurallarının dayatılMAMASINI söyler. Dört rastgele kelimeden oluşan bir cümle, kısa ve karmaşık bir paroladan hem daha güçlü hem akılda kalıcıdır.
  4. Zorunlu periyodik değişim yok. Periyodik zorunlu parola değişimi dayatılmamalı; yalnızca ele geçirilme kanıtı varsa değişim zorunlu olmalıdır.
  5. Sızdırılmış parola kontrolü. Yeni parolalar, bilinen ve sızdırılmış parola kara listesiyle karşılaştırılmalıdır. Have I Been Pwned gibi servisler gerçek ihlallerde açığa çıkmış yüz milyonlarca parolayı barındırır.
  6. Yapıştırmaya izin. NIST, parola yöneticisi kullanımını kolaylaştırmak için yapıştırma fonksiyonuna izin verilmesini önerir.

2. Parola yöneticisi: tek ana parola, yüzlerce benzersiz parola

İnsan zihni onlarca benzersiz uzun parolayı hatırlayamaz, bu yüzden insanlar aynı parolayı her yerde kullanır ve tek bir sızıntı tüm hesapları açar (kimlik bilgisi doldurma saldırısı). Çözüm parola yöneticisidir. CISA, güçlü parolayı uzun, rastgele ve benzersiz olarak tanımlar ve her hesaba farklı parola üretip saklamak için parola yöneticisi kullanmayı temel adımlardan biri olarak listeler; siz yalnızca tek bir ana parolayı hatırlarsınız.

3. Çok faktörlü doğrulama: ikinci kilit

Parola tek başına yeterli değildir; çok faktörlü kimlik doğrulama (MFA) ikinci bir kanıt ister. Microsoft, 2019'da yayımladığı çok atıfta bulunulan bir analizde MFA'nın hesap ele geçirme saldırılarının yüzde 99,9'undan fazlasını engelleyebileceğini belirtti. Ama tüm MFA yöntemleri eşit değildir:

  • SMS ve sesli kod: en zayıf. CISA, SMS temelli doğrulamanın oltalamaya, SS7 açıklarına ve SIM swap saldırılarına karşı savunmasız olduğunu belirtir. SIM kartınız ele geçirilirse SMS kodu işe yaramaz; ayrıntı için SIM swap saldırısı yazımıza bakın.
  • Uygulama tabanlı (authenticator): daha iyi. Tek seferlik kod üreten uygulamalar SMS'ten güvenlidir ama yine de sahte sayfaya kod girdiren oltalamaya açıktır.
  • Passkey ve donanım anahtarı: en güçlü. CISA, yaygın olarak mevcut tek phishing dirençli yöntemin FIDO/WebAuthn olduğunu söyler.

4. Passkey: parolasız ve kimlik avına dayanıklı gelecek

Passkey, FIDO standartlarına dayalı, açık anahtar kriptografisi kullanan bir kimlik doğrulama yöntemidir. FIDO Alliance'ın tanımıyla, özel anahtar cihazınızda kalır, açık anahtar servisin sunucusunda saklanır ve siz cihazınızı açtığınız yöntemle (parmak izi, yüz, PIN) giriş yaparsınız. Passkey'ler kimlik avına dayanıklıdır, her zaman güçlüdür ve paylaşılan gizli sır içermeyecek şekilde tasarlanmıştır. Her passkey benzersizdir ve servisin alan adına bağlıdır; bu yüzden sahte bir siteye passkey'inizi vermeniz mümkün değildir, çünkü tarayıcı alan adı eşleşmediğinde çalışmaz. Çalınacak bir şifre, yakalanacak bir kod yoktur.

Madde madde uygulama planı

  1. Bir parola yöneticisi kurun ve güçlü bir ana parola belirleyin.
  2. En kritik hesaplardan başlayarak (e-posta, banka) her hesaba benzersiz, en az 15 karakterlik parola atayın.
  3. Tüm hesaplarda çok faktörlü doğrulamayı açın; SMS yerine uygulama ya da passkey seçin.
  4. Passkey destekleyen her serviste (Google, Apple, Microsoft, birçok banka) passkey kurun.
  5. Sızdırılmış parolalarınızı kontrol edin ve ele geçen tüm parolaları değiştirin.
  6. Kurumdaysanız phishing dirençli MFA'yı politika haline getirin ve kimlik ve erişim yönetimini güçlendirin.

Sıkça Sorulan Sorular

Parolamı gerçekten periyodik değiştirmemeli miyim? NIST artık zorunlu periyodik değişimi önermiyor; yalnızca parolanın ele geçirildiğine dair kanıt varsa değiştirin. Uzun, benzersiz parola ve MFA daha önemlidir.

SMS doğrulama kötü mü? Hiç yoktan iyidir ama en zayıf yöntemdir. Mümkünse uygulama tabanlı doğrulamaya ya da passkey'e geçin.

Passkey'i çaldırırsam ne olur? Passkey cihazınıza ve sizin biyometri ya da PIN'inize bağlıdır; özel anahtar cihazdan çıkmaz, bu yüzden uzaktan çalınması parola gibi mümkün değildir.

Kaynaklar

Kurumsal kimlik doğrulama mimarinizi phishing dirençli hale getirmek için DSET ile iletişime geçin.