Parola uzunluğu, rastgelelik, benzersizlik, çevrimdışı saldırılar ve çok faktörlü kimlik doğrulama arasındaki ilişkiyi açıklayan güvenlik rehberi.
Entropi bir modeldir, garanti değildir
Rastgele seçilen L uzunluğundaki bir parolanın teorik entropisi yaklaşık L × log2(N) formülüyle hesaplanır; N her konumdaki olası karakter sayısıdır. Bu formül yalnızca seçim gerçekten rastgeleyse anlamlıdır. İnsanların oluşturduğu kalıplar, sözlük kelimeleri, klavye yürüyüşleri ve yıl ekleri teorik uzayı ciddi biçimde küçültür.
Bir güç ölçer bu nedenle kesin hüküm değil, karşılaştırma sinyali üretir. 'P@rola2026!' karmaşık görünse de tahmin edilebilir dönüşümler içerir; parola yöneticisinin ürettiği daha uzun rastgele bir değer genellikle daha güçlüdür.
Kırılma süresi varsayımlara bağlıdır
Çevrimiçi saldırıda hız; oran sınırlama, hesap kilidi ve çok faktörlü doğrulamayla düşer. Ele geçirilmiş parola veritabanına karşı çevrimdışı saldırıda ise kullanılan hash algoritması, maliyet ayarı ve saldırgan donanımı belirleyicidir. Saniyede deneme sayısı milyonlarca kat değişebildiği için tek bir 'kırılması şu kadar sürer' değeri evrensel değildir.
Tahminleri en kötü durum aralığı olarak okuyun. Hizmet sağlayıcının parolaları Argon2id, scrypt veya uygun maliyetli bcrypt gibi parola amaçlı yöntemlerle ve benzersiz salt ile saklaması gerekir.
Uzun, rastgele ve benzersiz olanı seçin
Her hesap için ayrı parola kullanmak, küçük bir uzunluk artışından daha kritik olabilir. Aynı güçlü parola iki hizmette kullanılırsa bir ihlal diğer hesabı da tehlikeye atar. Parola yöneticisi 16–24 karakterlik rastgele değerleri üretip saklamayı pratik hale getirir.
Hatırlanması gereken ana parola için rastgele seçilmiş birden çok kelimeden oluşan uzun bir ifade kullanılabilir. Kelimeleri kendiniz anlamlı bir cümle olarak seçerseniz gerçek rastgelelik azalır; üretim yöntemini de güvenlik değerlendirmesine dahil edin.
- Her hesapta benzersiz değer kullanın.
- Mümkünse parola yöneticisiyle üretin.
- SMS yerine phishing-resistant MFA seçeneklerini tercih edin.
- İhlal bildirimi geldiğinde parolayı değiştirin.
Yerel testte bile sır yönetimini unutmayın
ByteQuant güç testi girdiyi tarayıcı içinde değerlendirir ve sunucuya göndermez. Yine de gerçek bir parolayı ortak ekranda, ekran kaydında veya güvenilmeyen tarayıcı eklentilerinin bulunduğu cihazda yazmak risklidir. En güvenli yaklaşım kalıbı benzer bir örnekle değerlendirmek ve üretimi parola yöneticisine bırakmaktır.
SHA-256 hızlı bir özet algoritmasıdır ve tek başına parola depolamak için uygun değildir. Hız saldırganın da çok hızlı tahmin yapmasına izin verir; parola saklama sistemleri özellikle yavaş ve ayarlanabilir maliyetli olmalıdır.
Görsel önerisi: Uzunluk, karakter uzayı, saldırı hızı ve benzersizliğin tahmine etkisini gösteren terazi diyagramı. Bu içerik genel bilgilendirme amaçlıdır; hukuki veya güvenlik danışmanlığı değildir.