Şifre Ne Zaman Değiştirilmeli?

Şifre değiştirmenin doğru zamanını anlatan hesap güvenliği görseli

Her üç ayda bir şifre değiştirin.

Yıllarca böyle söylendi. Oysa bu takvim kuralı yanıltıcı. Kullanıcılar sürekli baskı altında kalınca gerçekten yeni bir kombinasyon üretmez; eski parolanın sonuna "2025" yazar, ay ismini "Mart" yapar, bir harf büyütür. Görünüşte farklı, ama saldırgan için tahmin etmek kolay.

Asıl soru: takvime mi, tehdide mi?

Güncel yaklaşım kör döngü yerine gerçek riski izler. Belirli bir tarih gelince otomatik yenilemek değil, hesabınıza saldırı olduğunda hemen harekete geçmek önemli. Tehdit yokken zorla değiştirmek güvenlik sağlamaz; zayıf varyasyonlar üretir. Tehdit varken beklemek ise felaket.

Hangi durumlarda hemen değiştirin?

Veri sızıntısı haberi aldınız mı?

Beklemek yok.

Beklenmeyen giriş bildirimi geldi mi? Kimlik avı şüphesi var mı? Parolanızı ortak bilgisayarda yazdınız mı, ya da aynı kombinasyonu on farklı sitede kullandığınızı fark ettiniz mi? Ertelemek mantıksız. Kurtarma ayarlarınız değişmişse, cihaz listenizde tanımadığınız bir telefon görünüyorsa, siz başlatmadığınız sıfırlama e-postaları geliyorsa hemen yenileyin. Sonra tüm aktif oturumları kapatın—her birini tek tek kontrol edin, çünkü saldırgan hâlâ içeride olabilir.

Düzenli değişim neden bazen ters teper?

Zorunlu değişim baskısı altındaki kullanıcı ne yapar?

Güçlü ve tamamen yeni bir yapı kurmaz. Eski parolanın sonuna "123" ekler, "Ocak" yerine "Şubat" yazar, 2024'ü 2025 yapar. Dışarıdan farklı görünür ama saldırgan için tahmin kolay—çünkü kalıp aynı. Görünürde hareket var, gerçekte güvenlik kazancı sıfır. Hatta bazen daha kötü: kullanıcı yeni kombinasyonu hatırlayamayınca not defterine yazar, masasına yapıştırır, telefona kaydeder. Sık değiştirmek değil, doğru sebeple ve doğru biçimde değiştirmek önemli.

Yeni parola eski yapının varyasyonu olmamalı.

Gerçekten benzersiz olmalı—hiçbir önceki kombinasyonla bağlantısı kalmamalı. Aksi halde değişim ritüeli güvenlik yanılsaması yaratır, gerçek koruma sağlamaz.

Hangi hesaplar daha sık gözden geçirilmeli?

E-posta.

Her zaman en üst sırada. Çünkü e-posta ele geçirilirse diğer tüm hesaplar risk altına girer—saldırgan "parolamı unuttum" butonuna basar, sıfırlama linkini alır, her şeyi kontrol eder. Ardından finansal servisler: banka, kredi kartı, ödeme platformları. Sonra bulut depolama (Google Drive, Dropbox, iCloud), sosyal medya hesapları ve iş araçları (Slack, Microsoft 365, kurumsal e-posta). Bu hesaplarda sadece parolayı değil kurtarma yöntemlerini, bağlı cihazları, iki aşamalı doğrulama durumunu da düzenli kontrol edin.

Düşük öncelikli eski forum ya da kampanya hesapları bile unutulmamalı.

Kullanıcı aynı e-posta ve benzer kombinasyonu orada da kullanmış olabilir. Saldırgan önce önemsiz görünen bir hesaba girer, oradan e-posta adresini ve parola kalıbını öğrenir, sonra asıl hedeflere saldırır. Risk bazen en önemsiz kapıdan içeri girer—2015'te kayıt olduğunuz o unutulmuş oyun forumu bile tehdit olabilir.

Hangi sıra izlenmeli?

Önce e-posta hesabını güvene alın.

Sonra finansal hesaplar, sosyal medya, iş araçları ve diğer servisler gelsin. Aynı veya benzer parola birçok yerde kullanıldıysa bu temizlik sistemli yapılmalı—rastgele iki üç hesapta değişiklik yeterli olmaz, hepsini gözden geçirin. Şifre yöneticisi burada büyük avantaj sağlar: yeni kombinasyonları üretir, güvenli saklar, hangi hesapların temizlendiğini takip eder. Aksi halde bir süre sonra yine kısa ve tanıdık çözümlere geri dönersiniz—"Sifre2025!", "Sifre2026!" döngüsü başlar.

Kod değiştirmek tek başına yeterli değil

Yenilendiğinde çoğu zaman meselenin kapandığını düşünürsünüz.

Kapanmaz.

Aktif oturumlar hâlâ açıksa, kurtarma e-postası değiştirilmişse ya da ikinci doğrulama kapalıysa sorun devam eder. Parola değişimi güvenlik zincirinin yalnızca bir halkasıdır—diğer halkalar zayıfsa zincir kopar. Her değişim anında şu dört soruyu sorun: Açık oturumlar kapandı mı? Kurtarma bilgileri doğru mu? İki aşamalı doğrulama aktif mi? Aynı kombinasyon veya benzeri başka hesaplarda da var mı?

Cevap hayırsa işlem eksik kalır.

Takvim değil, risk temelli disiplin

Bazı hesaplarda dönemsel gözden geçirme yararlı olabilir—özellikle kritik finansal hesaplarda altı ayda bir kontrol mantıklı.

Ama güvenliği asıl artıran şey tehdide hızlı cevap vermek. Ne zaman değiştirmeli sorusunun en doğru cevabı: risk oluştuğunda hemen, risk yokken de düzeninizi kontrol ederek. Güvenlik insanı sürekli parola yenilemeye zorlamak değil, kötü alışkanlıkları bitirmek üzerine kurulmalı.

Benzersiz kombinasyonlar kullanın. Yönetici araçları edinin. İki aşamalı doğrulama açın—her hesapta, istisnasız. Hesaplarınızı dikkatli yönetin: hangi cihazlar bağlı, kurtarma e-postası güncel mi, son giriş ne zaman yapıldı? Bu disiplin varsa değişim bir telaş rutini olmaktan çıkar ve bilinçli adım haline gelir. Takvim size ne zaman değiştireceğinizi söylemez; tehdit söyler.