Güçlü Parola ve Çok Faktörlü Doğrulama (MFA)

Günlük Güvenlik Davranışları

👤 Güvenlik Uzmanı★ 1/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon 2024 Veri İhlali Araştırma Raporu'na göre ihlallerin yaklaşık %80'inde çalınmış veya zayıf kimlik bilgileri rol oynuyor. Tek bir zayıf parola, tüm kurumun kapısını aralayabilir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste güçlü parola hijyenini, parola yöneticilerini ve çok faktörlü doğrulamayı (MFA) işliyoruz. Soldaki interaktif sahnede (secPasswordStrength3D) farklı parola uzunluğu ve karakter çeşitliliğinin kırılma süresini ve entropiyi nasıl değiştirdiğini canlı olarak dene; kısa ve tahmin edilebilir parolanın saniyeler içinde, uzun parola cümlesinin ise yüzyıllar mertebesinde nasıl direndiğini gör.

Anlatım

PAROLALAR NEDEN HÂLÂ EN ZAYIF HALKA? Kurumsal sistemlere erişimin büyük bölümü hâlâ kullanıcı adı + parola ile başlar. Saldırganlar parolaları çalmak için kaba kuvvet (brute force), sözlük saldırısı, sızdırılmış parola listeleriyle deneme (credential stuffing) ve oltalama (phishing) kullanır. Bir parola ne kadar kısa ve tahmin edilebilirse, otomatik araçlar onu o kadar hızlı kırar. Bu yüzden parola hijyeni, herkesin günlük güvenlik davranışının temelidir. GÜÇLÜ PAROLANIN ÖZELLİKLERİ • Uzunluk her şeyden önemlidir: Modern rehberler (NIST SP 800-63B) en az 8, tercihen 12-16+ karakter önerir. Uzunluk, karmaşıklıktan daha çok koruma sağlar. • Parola cümlesi (passphrase) kullanın: Birbiriyle ilgisiz 4-5 kelimeden oluşan cümleler hem hatırlaması kolay hem kırması zordur (örn. dört rastgele kelime). • Benzersiz olun: Her hesap için FARKLI parola. Aynı parolayı birden çok yerde kullanmak, bir sızıntıda tüm hesapların düşmesi demektir (credential stuffing). • Tahmin edilebilir kalıplardan kaçının: 123456, qwerty, sirket2024, doğum tarihi, çocuk/evcil hayvan adı gibi bilgiler ilk denenenlerdir. GÜNCEL NIST YAKLAŞIMI (ÖNEMLİ DEĞİŞİKLİK) NIST SP 800-63B artık şunları ÖNERMİYOR: • Zorunlu periyodik parola değiştirme (ör. her 90 günde bir) — yalnızca bir ihlal şüphesi olduğunda değiştirin. Zorunlu sık değişim, kullanıcıları tahmin edilebilir küçük varyasyonlara iter (Parola1 → Parola2). • Zorunlu karmaşıklık kompozisyon kuralları (mutlaka büyük harf+rakam+sembol dayatması) tek başına yeterli değildir. Bunun yerine: uzunluğu artırın, sızdırılmış parola listelerine karşı kontrol edin ve MFA ekleyin. PAROLA YÖNETİCİSİ (PASSWORD MANAGER) İnsan beyni onlarca benzersiz, uzun parolayı hatırlayamaz. Çözüm: kurumsal onaylı bir parola yöneticisi (vault). Tek bir güçlü ana parola (master password) ile şifreli kasada tüm parolaları saklar, güçlü parolaları otomatik üretir ve doldurur. Avantaj: her hesap benzersiz + uzun olabilir; oltalama sitelerinde otomatik doldurma çalışmaz (alan adı eşleşmez) — bu da ekstra bir uyarı sinyalidir. ÇOK FAKTÖRLÜ DOĞRULAMA (MFA / 2FA) MFA, kimliği en az iki farklı kanıt türüyle doğrular: 1) Bildiğiniz bir şey (parola, PIN) 2) Sahip olduğunuz bir şey (telefondaki authenticator uygulaması, donanım anahtarı, akıllı kart) 3) Olduğunuz bir şey (parmak izi, yüz tanıma — biyometrik) Parola çalınsa bile, ikinci faktör olmadan saldırgan giremez. Microsoft'un yayımladığı analizlere göre MFA, otomatik hesap ele geçirme saldırılarının büyük çoğunluğunu engeller. MFA YÖNTEMLERİ — GÜÇLÜDEN ZAYIFA • En güçlü: FIDO2/WebAuthn donanım güvenlik anahtarları (örn. fiziksel USB anahtar) ve passkey — oltalamaya dirençlidir. • Güçlü: Authenticator uygulaması (TOTP — 30 saniyede bir değişen 6 haneli kod) veya push onayı. • Zayıf: SMS ile gelen kod. SIM swap (numara taşıma dolandırıcılığı) ve araya girme saldırılarına açıktır; yine de hiç MFA olmamasından iyidir. MFA YORGUNLUĞU (MFA FATIGUE) SALDIRISI Saldırgan, çaldığı parolayla tekrar tekrar giriş denemesi yaparak telefonunuza onay bildirimleri yağdırır. Amaç, sizi bıktırıp yanlışlıkla "Onayla"ya bastırmaktır. KURAL: Siz giriş yapmıyorsanız gelen hiçbir MFA isteğini ONAYLAMAYIN; reddedin ve BT/güvenlik ekibine bildirin (parolanız ele geçmiş olabilir). Mümkünse numara eşleştirmeli (number matching) MFA kullanın. İŞ YERİNDE YAPILMASI GEREKENLER (DO) • Her kurumsal hesapta MFA'yı etkinleştirin. • Kurumun onayladığı parola yöneticisini kullanın. • Parola cümlesi tercih edin; uzunluğu önceleyin. • Beklemediğiniz MFA istemini reddedin ve bildirin. • Parolanın sızdırılmış olabileceğini düşünüyorsanız hemen değiştirin. İŞ YERİNDE YAPILMAMASI GEREKENLER (DON'T) • Parolayı yapışkan nota, masaüstü dosyasına veya tarayıcının korumasız "not"larına yazmayın. • Parolayı asla e-posta, sohbet veya telefonla paylaşmayın — BT ekibi bile parolanızı istemez. • Aynı parolayı iş ve kişisel hesaplarda kullanmayın. • MFA kodunu/onayını kimseyle paylaşmayın; "doğrulama kodunu söyle" diyen aramalar dolandırıcılıktır. • Tarayıcıya kurumsal parolayı kaydetmeyi, kurum politikası izin vermiyorsa yapmayın. ISO 27001:2022 VE KVKK BAĞLANTISI • ISO/IEC 27001:2022 Annex A 5.17 (Authentication information / Kimlik doğrulama bilgileri): parolaların güvenli yönetimi, dağıtımı ve gizliliği bu kontrolün kapsamındadır. • Annex A 8.5 (Secure authentication / Güvenli kimlik doğrulama): MFA ve güçlü kimlik doğrulama teknikleri bu kontrolle istenir. • Annex A 5.15-5.18 erişim kontrolü ve erişim haklarının yönetimini kapsar. • KVKK (6698 sayılı Kanun) md. 12: veri sorumlusu kişisel verilere yetkisiz erişimi önlemek için uygun teknik ve idari tedbirleri almakla yükümlüdür. Güçlü kimlik doğrulama ve MFA, KVK Kurulu'nun "Kişisel Veri Güvenliği Rehberi"nde önerilen teknik tedbirler arasındadır; zayıf parola yönetimi yetersiz tedbir sayılır.

📌 Senaryolar

📌 Senaryo 1 (Parola yöneticisi vs. tekrar kullanım): Bir çalışan, e-posta, muhasebe portalı ve CRM'de aynı 'Sirket2024!' parolasını kullanıyor. Bir gün kullandığı bir alışveriş sitesi hacklenip parola listesi sızıyor.
  Doğru davranış: Her hesap için kurum onaylı parola yöneticisiyle üretilmiş BENZERSİZ ve uzun parolalar kullanmak; sızıntı duyulunca ilgili parolayı hemen değiştirmek.
  Sonuç/Neden: Tek bir sitenin sızıntısı, credential stuffing ile kurumsal hesapların düşmesine yol açar. Benzersiz parola, sızıntının yayılmasını durdurur.

📌 Senaryo 2 (Beklenmedik MFA bildirimi — MFA fatigue): Akşam saatlerinde, hiç giriş yapmadığınız hâlde telefonunuza üst üste 'Giriş onayı: Onayla / Reddet' bildirimleri geliyor.
  Doğru davranış: TÜM istekleri REDDETMEK, hiçbirini onaylamamak; parolanın ele geçmiş olabileceğini varsayıp parolayı değiştirmek ve güvenlik/BT ekibine bildirmek.
  Sonuç/Neden: Bu bir MFA yorgunluğu saldırısıdır; saldırgan parolanızı biliyor ve ikinci faktörü sizden 'kazara onay' ile koparmaya çalışıyor. Tek bir yanlış 'Onayla', hesabı saldırgana teslim eder.

📌 Senaryo 3 (Telefonda parola/kod isteyen arama): Kendini 'BT destek' olarak tanıtan biri arayıp 'sisteminizi güncelliyoruz, parolanızı ve telefonunuza gelen 6 haneli kodu söyleyin' diyor.
  Doğru davranış: Parolayı ve MFA kodunu ASLA söylememek; aramayı kapatıp BT ekibine kurumun bilinen resmi kanalından ulaşıp olayı doğrulamak ve bildirmek.
  Sonuç/Neden: BT/güvenlik ekibi hiçbir zaman parolanızı veya MFA kodunuzu istemez. Bu klasik sosyal mühendislik/oltalamadır; kod paylaşılırsa saldırgan MFA'yı atlayarak girer.

📌 Senaryo 4 (Zayıf SMS faktörü ve SIM swap riski): Bir yönetici, kritik finans uygulamasında ikinci faktör olarak yalnızca SMS kodu kullanıyor. Operatöründe yapılan sahte numara taşıma (SIM swap) ile kodlar saldırgana gidiyor.
  Doğru davranış: Mümkün olan her yerde SMS yerine authenticator uygulaması (TOTP/push) veya FIDO2 donanım güvenlik anahtarı/passkey kullanmak.
  Sonuç/Neden: SMS, SIM swap ve araya girme saldırılarına açıktır. Donanım anahtarı ve passkey oltalamaya dirençlidir; en hassas hesaplar en güçlü faktörle korunmalıdır.

📌 Senaryo 5 (Parolayı görünür yere yazma): Yeni bir çalışan, hatırlamak için karmaşık parolasını monitörüne yapıştırdığı bir nota ve masaüstündeki 'parolalar.txt' dosyasına yazıyor.
  Doğru davranış: Parolayı asla kâğıda/açık dosyaya yazmamak; kurum onaylı parola yöneticisinin şifreli kasasında saklamak ve hatırlanabilir tek bir güçlü ana parola belirlemek.
  Sonuç/Neden: Açık görünen veya şifresiz dosyadaki parola, içeriden kişiler, ziyaretçiler veya cihaza erişen herkes tarafından okunabilir; bu, ISO 27001 A.5.17 kimlik doğrulama bilgisinin gizliliği ilkesini ihlal eder.

Özet

• Uzunluk karmaşıklıktan önemlidir; 12-16+ karakter veya parola cümlesi tercih edin. • Her hesap için BENZERSİZ parola kullanın; tekrar kullanım credential stuffing riskidir. • Kurum onaylı parola yöneticisi (vault) ile uzun, benzersiz parolaları güvenle saklayın. • MFA'yı her yerde açın; en güçlüsü FIDO2/passkey ve donanım anahtarı, en zayıfı SMS'tir. • Beklemediğiniz MFA isteğini onaylamayın (MFA fatigue); parolanızı/kodunuzu kimseyle paylaşmayın. • ISO 27001 A.5.17 ve A.8.5 ile KVKK md.12, güçlü kimlik doğrulama ve MFA'yı gerektiren temel kontrollerdir.

✅ Mini-Test (5)

1.Güncel NIST SP 800-63B rehberine göre parola gücünü en çok artıran etken hangisidir?

2.Aşağıdaki MFA yöntemlerinden hangisi en zayıf ve SIM swap'a açık olanıdır?

3.Hiç giriş yapmadığınız hâlde telefonunuza üst üste MFA onay bildirimleri geliyor. Ne yapmalısınız?

4.BT/güvenlik ekibi gerektiğinde sizden parolanızı veya telefonunuza gelen MFA kodunu isteyebilir.

5.Aynı parolayı birden çok sitede kullanmanın temel riski nedir?

🧩 Uygulama Soruları (5)

1.Bir kolega, ofiste değilken acil bir rapora erişmek için kurumsal parolasını WhatsApp'tan sizinle paylaşmak istiyor. Doğru davranış hangisidir?

2.Yeni bir uygulamaya kayıt olurken sistem güçlü bir parola istiyor. En iyi pratik hangisidir?

3.Parolayı tahmin edilebilir bir kalıpla değiştirmektense (Parola1 → Parola2), uzun ve benzersiz bir parolayı yalnızca ihlal şüphesinde değiştirmek daha güvenlidir.

4.En hassas kurumsal hesabınız (örn. yönetici/finans paneli) için en güçlü ikinci faktör hangisidir?

5.Bir oltalama (phishing) sitesi, kurumsal giriş sayfanızı birebir taklit ediyor. Parola yöneticisi kullanmak bu durumda nasıl ek koruma sağlar?

← Risk Değerlendirme ve İşleme Oltalama (Phishing) Saldırılar →

← Tüm modüllere dön · Güvenlik Sözlüğü