En Güvenli Şifre Kaç Karakter Olmalı?

İnsanlar güvenli şifre konusunu tek bir rakama indirmek istiyor.

10 mu, 12 mi, 16 mı? Keşke cevap yalnızca tek sayı olsaydı. O zaman herkes aynı eşiği uygular, konu kapanırdı. Pratikte böyle işlemiyor. Çünkü bir şifrenin güvenliği yalnızca uzunluğundan değil; nasıl üretildiğinden, nerede kullanıldığından, başka yerde tekrar edilip edilmediğinden ve hesabın ikinci savunma katmanına sahip olup olmadığından etkileniyor.

Yine de bazı alt sınırlar var. Bugün 8 karakter çoğu hesap için dar kalıyor. 12 karakter makul bir taban sayılabilir. 16 ve üzeri ise özellikle rastgele üretilmiş parolalarda rahat bir güvenlik alanı açıyor. Ezberleyeceğiniz parola ile bir yöneticinin saklayacağı parola da aynı mantıkla seçilmiyor. Bu ayrımı görmeden sadece rakama bakmak kafa karıştırıyor.

Şifre uzunluğu sorusunu doğru biçimde sormak daha yararlı: Bu hesap için ne kadar uzunluk gerekiyor, bu yapı ne kadar tahmin edilebilir ve aynı mantığı başka yerde tekrar ediyor muyum? Cevap burada netleşiyor.

Tek sayı arayanlar için kısa cevap

Tek cümlelik cevap istiyorsanız şöyle başlayabilirsiniz: günlük hesaplar için 12 karakter taban kabul edilebilir, 16 ve üzeri çok daha rahat bir alandır, ezberlenecek kritik parolalarda ise toplam uzunluğu daha da yukarı taşımak gerekir.

Bu, her hesabın aynı kuralla yönetileceği anlamına gelmez. Bir forum hesabı, banka hesabı, e-posta kutusu ve parola yöneticisi kasası aynı risk sınıfında değildir. Saldırganın hedefi çoğu zaman en kritik hesabı doğrudan kırmak değil, zayıf bir kapı bulup oradan içeri girmektir. Bu yüzden "her yerde 10 karakter yeter" gibi tek cümlelik reçeteler gerçeği yansıtmaz.

Üstelik uzunluğun maliyeti de hesaba bağlıdır. Parola yöneticisi kullanan biri için 18 karakterlik rastgele bir parola ile 12 karakterlik parola arasında neredeyse hiçbir kullanım farkı yoktur; çünkü ikisini de ezberlemeyecektir. Aynı kullanıcı, yöneticinin ana parolasını ise her gün elle girebilir. Orada yalnızca uzun olmak yetmez; hatırlanabilir olmak da gerekir. İşte tek sayı arayışını bozan şey budur.

Bir başka önemli nokta da şudur: uzunluk, şifre gerçekten bağımsız parçalarla ya da rastgele karakterlerle kurulmuşsa anlamlıdır. Uzun görünen ama tahmin edilmesi kolay kalıplar düşündüğünüz kadar koruma sağlamaz. Bu nedenle rakamı konuşurken deseni de konuşmak gerekir.

Birkaç karakter fazlası neden ciddi fark yaratır

Şifre uzunluğu doğrusal değil, katlanarak büyüyen bir fark yaratır.

Gerçekten rastgele üretilmiş bir yapıda her ek karakter, saldırganın denemesi gereken alanı ciddi biçimde genişletir. Bu fark özellikle veri sızıntısı senaryolarında önem kazanır. Çevrim içi giriş ekranında hız sınırı, geçici kilit, IP engeli ya da iki aşamalı doğrulama gibi katmanlar devreye girebilir. Fakat parola özeti bir sızıntıyla dışarı çıktığında saldırgan artık sizin giriş ekranınızla değil, kendi ortamında çalışan tahmin araçlarıyla uğraşır. Orada her ekstra karakter daha değerli hale gelir.

Bu yüzden 8 ile 12 arasındaki fark küçük görünse de gerçekte önemli bir sıçramadır. 12 ile 16 arasındaki geçiş de aynı şekilde küçümsenmemelidir. Kullanıcı gözüyle bakıldığında yalnızca birkaç tuş daha uzun görünür; saldırgan açısından ise deneme alanı bambaşka ölçekte genişler.

Elbette her saldırı ham güçle yapılmaz. Çoğu hesap, kaba kuvvetten önce tahmin edilir. Yine de uzunluk burada da işe yarar. Çünkü saldırgan yalnızca sözlükteki ilk 500 kelimeyi denemekle kalmaz; yaygın ekler, yıl kalıpları, sembol varyasyonları ve bilinen alışkanlıkları birleştirir. Uzunluk bu ezberli deneme setinden uzaklaşmanızı sağlar.

Burada saldırı tipi ayrımı da önemlidir. Çevrim içi giriş ekranlarında servis sizi korumak için hız sınırlayabilir, art arda hatalı denemelerde hesabı geçici askıya alabilir ya da ek doğrulama isteyebilir. Sızıntı sonrası yapılan çevrim dışı tahminlerde ise böyle frenler yoktur. Bu yüzden özellikle kritik hesaplarda birkaç karakter daha eklemek, görünenden daha ucuz ama değeri yüksek bir savunmadır.

Tahmin edilebilir desenler uzunluğu boşa çıkarabilir

Uzun ama tanıdık bir şifre, kısa ama iyi kurgulanmış bir şifreden daha güvenli olmak zorunda değildir.

Şehir adı, takım adı, doğum yılı, telefonun son dört hanesi, klavye dizilimi, mevsim adı ya da her sitede korunan aynı gövde... Bunlar karakter sayısını büyütür ama saldırganın ilk baktığı yerler de tam olarak bunlardır. "Ankara1907!Yaz" gibi bir yapı 16 karakter olabilir; buna rağmen insan davranışını fazla açık yansıttığı için güçlü görünmekle yetinir.

Güçlü şifre oluşturma mantığı burada belirleyicidir. Önemli olan klavyede daha uzun gezmek değil, tahmin edilebilir biyografik izleri temizlemektir. Aynı durum varyasyonlar için de geçerli. Bir sitede kullandığınız yapının sonuna yalnızca farklı yıl eklemek, başka sitede sembolün yerini değiştirmek ya da takım adını kısaltmak sizi kurtarmaz.

Aynı şifreyi tekrar kullanma alışkanlığı da bu noktada tabloyu ağırlaştırır. Çünkü saldırgan bir hesabınızdaki kalıbı gördüğünde diğerlerinde benzerini arar. Uzunluk burada bile tek başına savunma sağlamaz. Eğer temel gövde aynıysa, 14 karakterlik üç varyasyon aslında tek bir güvenlik hatasına dönüşebilir.

Ezberlenecek parola ile saklanacak parola aynı değildir

Parola seçerken yapılan en yaygın hata, tüm hesapları aynı kullanım biçiminde düşünmektir.

Ezberlemeniz gereken kritik bir ana parola ile parola yöneticisinin sizin yerinize saklayacağı alışveriş, forum, sosyal medya ya da uygulama parolaları aynı yöntemle kurulmaz. Ezberlenecek parola için amaç, sizin rahat hatırlayacağınız ama başkasının ilişki kuramayacağı kadar kişisel ve uzun bir yapı bulmaktır. Burada dört ya da beş bağımsız kelimeden oluşan güçlü bir parola cümlesi, rastgele ama unutulabilir bir diziden daha mantıklı olabilir.

Saklanacak hesaplarda ise insan hafızasını düşünmek zorunda değilsiniz. Bu yüzden rastgele üretim daha temiz sonuç verir. Ezberlemeyeceğiniz üyeliklerde tarayıcı içinde çalışan bir güvenli şifre oluşturucu ile 16-20 karakterlik bağımsız parolalar üretmek, elle "yarı hatırlanabilir" çözümler kurmaktan daha iyidir. Böyle bir düzeni sürdürebilmek için de parola yöneticisi kullanmak neredeyse zorunlu hale gelir.

Burada küçük ama kritik bir ayrım var: ana parola için rastgele üretim her zaman iyi fikir olmayabilir. Çünkü gerçekten rastgele 20 karakterlik bir dizi, kullanıcıyı onu not almaya ya da yeniden kullanmaya itebilir. Ana parolada amaç hem uzunluğu hem de hatırlanabilirliği birlikte yönetmektir. Yöneticinin sakladığı diğer hesaplarda ise hatırlanabilirlik şartı ortadan kalktığı için rastgelelik açık ara avantaj sağlar.

Bu nedenle "en güvenli şifre" tek biçimli bir nesne değildir. Ana parolada uzun, benzersiz ve akılda kalıcı bir yapı ararsınız. Saklanan hesaplarda ise okunması zor, tahmin edilmesi daha da zor, mümkünse tamamen rastgele diziler tercih edersiniz. İki ihtiyacı tek bir formüle zorlamak genellikle kötü sonuç verir: ya ezberlenemeyecek kadar sert bir ana parola seçilir ya da saklanacak hesaplarda gereksiz biçimde insan kalıbı taşıyan parolalar üretilir.

Hesap türüne göre mantıklı karakter aralıkları

Tek sayı yerine pratik aralıklarla düşünmek daha işe yarar.

E-posta, banka, bulut depolama ve parola yöneticisi gibi kritik hesaplarda çıtayı yukarı koymak gerekir. Bu hesaplar ya başka hesapların anahtarıdır ya da doğrudan maddi ya da kişisel hasar üretir. Parola yöneticisi kullanıyorsanız bu sınıfta 16 karakter ve üzeri rastgele parola rahat bir tercihtir. Ezberlediğiniz ana parola için ise toplam uzunluğu daha yüksek tutmak, dört-beş bağımsız kelimeli yapı kurmak daha gerçekçidir.

Günlük ama önemsiz sanılan hesaplarda çıta bir anda düşmemelidir. Çünkü saldırgan sizin "zaten değersiz" gördüğünüz bir üyeliği doğrudan değil, parola kalıbını anlamak için kullanabilir. Bu yüzden düşük öncelikli hesaplarda da mümkünse 14-16 bandını korumak mantıklıdır. Parola yöneticisi varsa bu maliyet size neredeyse hiç yük bindirmez.

İkinci savunma katmanı da uzunluk kararını etkiler. Güçlü bir parola ile birlikte iki aşamalı doğrulama kullanıyorsanız saldırı yüzeyini daha iyi daraltırsınız. Fakat bu, kısa parola kullanmanın serbest olduğu anlamına gelmez. 2FA zayıf temeli telafi etmek için değil, iyi temeli güçlendirmek için düşünülmelidir.

Hesap sınıfı değiştikçe bakım disiplini de değişir. E-posta hesabı yılda bir kez bile ihmal edilmemelidir; çünkü diğer tüm sıfırlama akışları oraya bağlanır. Streaming üyeliği ya da tek kullanımlık kampanya hesabı daha düşük önemde görünse de, eğer aynı yapıyı başka yerde taşıyorsa birden yüksek risk üretebilir. Karakter hedefini belirlerken hesabın tek başına değerine değil, başka hesapları etkileyip etkilemeyeceğine bakın.

Bir de değişim konusu var. Kısa, tekrar eden ya da sızıntıya karışmış yapılar varsa "nasıl olsa uzun" diyerek beklemek doğru olmaz. Böyle durumlarda parola değişimi için risk temelli yaklaşım devreye girmelidir. Uzunluk yararlıdır, ama yanlış yerde kullanılan uzunluk sizi sonsuza kadar korumaz.

Kısa sınırı olan sitelerde ve eski hesaplarda ne yapmalı

Her servis modern değil.

Bazı eski sistemler 12 ya da 16 karakter üst sınırı koyar. Bazıları boşluk kabul etmez. Bazıları da uzun yapıları sessizce keser. Böyle bir servisle karşılaştığınızda ideal kurgu bozulmuş olur ama yine de yapabilecekleriniz vardır. İlk kural, sistem neye izin veriyorsa onun izin verdiği en uzun ve tamamen benzersiz yapıyı kullanmaktır. Kısa sınır bahanesiyle aynı kalıbı başka sitelerde dolaştırmayın.

İkinci kural, bu tür hesapları yalnız bırakmamaktır. Mümkünse ikinci doğrulama açın, oturum bildirimlerini kontrol edin, kurtarma e-postasını güncel tutun ve o hizmetin parolasını başka hiçbir yerde kullanmayın. Özellikle eski kurumsal paneller, uzun zamandır girmediğiniz üyelikler ve altyapısı zayıf servisler, veri sızıntısı ya da hesap devralma açısından sessiz risk üretebilir. Şüphe oluştuğunda veri sızıntısı sonrası kontrol sırasını uygulamak gerekir.

Böyle servislerde kullanıcılar sıkça iki hataya düşer. Birincisi, "nasıl olsa bu site eski, burada basit bir şey kullanayım" diye düşünmek. İkincisi, kısa sınır yüzünden aynı kısa yapıyı başka hesaplarda da dolaştırmak. İkisi de zincirleme risk üretir. Eski sistem sizi idealden mahrum bırakıyorsa, bunu başka katmanlarla telafi edin ama o hesabı asla diğerleriyle aynı çizgiye getirmeyin.

Asıl doğru soru sonunda aynı yere dönüyor: En güvenli şifre kaç karakter olmalı? Cevap tek rakam değil, ama kötü sınırlar belli. 8 karakter bugün dar kalıyor. 12 makul bir taban. 16 ve üzeri çoğu modern kullanım için rahat bir alan açıyor. Ezberlenen kritik parolalarda ise asıl hedef, tahmin edilebilirlikten uzak uzun bir yapı kurmak.

Şifre güvenliğinde rakamı tek başına kutsallaştırmak yerine, uzunluğu benzersizlik ve kullanım biçimiyle birlikte düşünün. Böyle yaptığınızda konu bir ezber cümlesinden çıkıp yönetilebilir bir güvenlik alışkanlığına dönüşür.