Şifreler Nasıl Ele Geçiriliyor?—Büyük Veri Sızıntılarında Gizli Gerçekler

"Zayıf şifre" miti: Gerçek tehlike şifrenin zayıf olmasında değil

2021'de bir sosyal medya firmasının veri tabanı internete sızdıktan sonra, 520 milyon kullanıcının e-posta adresleri, telefon numaraları ve şifreler (bazıları düz metin olarak) kamuya açık hale geldi. Bu tür olaylar, çoğu zaman "şifrenizi güçlü tutun" uyarısıyla bitiyor. Ama gerçek: Bir şifrenin zayıf olup olmaması, sızdırılma riskini çok az etkiler. Çünkü şifreler genellikle veritabanından çalınır, tarayıcıda takip edilir veya insanların alışkanlıklarından yararlanılarak ele geçirilir. Yani: tehlike, şifrenin kendisinde değil, güvenliğin yapısında.

Nasıl sızdırılır? Üç temel yol

Şifrelerin çalınma yolları, genellikle üç kategoride toplanır:

• Veritabanı sızıntıları: Şirketler kullanıcı şifrelerini şifrelenmemiş veya zayıf hash (hashing) ile saklarsa, veritabanına erişen bir saldırgan şifreyi anında okuyabilir. Örneğin, 2012'de LinkedIn'teki 6.5 milyon şifre düz metin olarak sızdı; 2019'da Facebook'ta ise 419 milyon hesabın e-posta ve telefon numaraları (şifreler değil ama ilişkilendirilebilir) sızdı.
• Yansımalı oturum (session replay) ve keylogger: Kullanıcı, bir siteye şifresini yazdığında, tarayıcıda çalışan kötü amaçlı kod (örneğin, bir tarayıcı eklentisi) bu eylemi kaydedebilir. Bu veri, saldırganın elinde bir "video" gibi çalışır: klavyeden girilen her karakter yakalanır. Bu yöntem, özellikle ortak bilgisayarların kullanıldığı ortamlarda (ofisler, kütüphaneler) etkilidir.
• Fishing ve sosyal mühendislik: En yaygın yöntemdir. Kullanıcıya, "hesabınız kilitlendi, şifrenizi doğrulayın" diyen bir e-posta gönderilir. Kullanıcı, kendi şifresini sahte bir siteye girer — ve o an şifre doğaçlama olarak ele geçirilir. Bu yöntemde teknik zayıflık değil, görsel kandırma kullanılır.

Şifreler nasıl korunur? — Modern tekniklerin gerçeği

Güvenli şifre yönetimi, tek bir teknik değil, katmanlı bir yaklaşım gerektirir. İşte günümüzde yaygın olarak kullanılan, bilimsel olarak doğrulanmış yöntemler:

1. Hash + Salt + Iterasyon: Şifrenin "imzası" oluşturulur

Şifreler, doğrudan veritabanında saklanmaz. Bunun yerine, bir hash algoritması (örneğin, bcrypt, Argon2) kullanılarak şifreden benzersiz bir "imza" (hash) oluşturulur. Bu imza ters çevrilemez — yani hash’den orijinal şifreyi çıkarmak imkânsızdır. Ancak saldırgan, bir şifre listesiyle hash’leri karşılaştırabilir (dictionary attack). Bunu önlemek için:

• Salt: Her şifreye rastgele bir ek metin (salt) eklenir. Aynı şifre bile, farklı salt ile farklı hash’lere dönüşür.
• Yavaş hash: Algoritmaların işlem süresini bilerek uzatır (örneğin, bcrypt 12 iterations = ~0.1 saniye). Bu, brute-force saldırılarını imkânsız hâle getirir — saldırgan, saatte milyonlarca deneme yapamaz.

2. Multi-Factor Authentication (MFA): Şifrenin "ikinci anahtarı"

MFA, şifrenin tek başına yeterli olmadığı gerçeğini kabul eder. Kullanıcı, şifre + bir ikinci faktörle (örneğin, mobil uygulamadan gelen kod, biyometrik veri) doğrulanır. Bu, şifrenin sızdırılması halinde bile hesaba erişimi zorlaştırır. Örneğin, Google 2023 itibarıyla MFA’ya geçişle, hesap çalınma oranlarını %90 azalttı.

3. Passwordless Authentication: Şifrelerin sonu mu?

Bazı firmalar (örneğin, Microsoft, Apple), "şifresiz" erişim sistemlerini推广 etmeye başladı. Bunlar:

• Biometrik doğrulama (yüz, parmak izi): Şifre yerine kimlik doğrulanır.
• FIDO2/WebAuthn: Kullanıcı, cihazında özel bir anahtar (private key) oluşturur. Bu anahtar, şifre yerine oturum açmak için kullanılır. Anahtar asla sunucuya gönderilmez — sadece kanıt (proof) gönderilir.

Önemli not: Biometrik veriler de sızabilir (örneğin, 2019'da bir ABD devlet kurumunda 5.6 milyon parmak izi çalındı), ancak şifrelerin aksine, değiştirilemezleri vardır. Bu yüzden, biyometrik veriler yalnızca bir faktör olarak kullanılır ve genellikle cihaz özelinde saklanır.

Kim kazanıyor? Kim kaybediyor?

Şifre güvenliği, teknoloji değil, strateji meselesidir:

• Küçük ve orta ölçekli şirketler, maliyet nedeniyle bazen yetersiz şifre politikaları (örneğin, hash algoritması olarak MD5 kullanma) benimser. Bu, 2020-2023 yıllarında yaşanan sızıntıların büyük kısmında gözlemlendi.
• Büyük teknoloji şirketleri, MFA’ya geçiş ve Passwordless’ı hızla benimsiyor. Ancak bu geçişler, kullanıcı deneyimini bozmadan yapılıyor — yani kolaylıkla değil, bilinçli bir değişiklik.
• Normal kullanıcılar, "aynı şifreyi tüm sitelerde kullanma" alışkanlığıyla en büyük riski yaratıyor. Bir sitede şifre sızarsa, diğer sitelerdeki hesaplar da risk altına girer (credential stuffing).

Xertexa perspective: Gerçek güvenlik, teknoloji değil, süreçtir

Xertexa olarak, 2015’ten beri XERP ve hosting sistemlerimizde şifre güvenliğini "katmanlı güvenlik" ilkesiyle inşa ettik. Örneğin:

• Tüm şifreler Argon2id ile hash’lenir, salt’lar her kullanıcı için rastgele ve benzersiz.
• MFA, tüm yönetici hesaplarında zorunludur.
• Web arayüzlerinde, FIDO2 destekli "parmak izi ile giriş" seçeneği sunuluyor (tarayıcı desteği mevcut ise).

Ancak bunun tek bir ürün veya servisle çözülebilir olduğunu düşünmüyoruz. Gerçek güvenlik, kullanıcı eğitimi, sürekli güncelleme ve altyapı güvenliği üçgeninin kesişiminde oluşur.

Sonuç: Şifrelerin geleceği — "zayıf" değil, "eski"

Şifreler, teknolojik bir başarısızlık değil, tarihsel bir mekanizma. Ancak 2024 itibarıyla, şifrelerin tek başına yeterli olmadığı gerçeği, artık teknik bir gerçeklikten çok, standart bir güvenlik kuralı haline geldi. En güçlü şifre bile, MFA’sız bir sistemde risklidir; en basit şifre bile, FIDO2 ile korunabilir.

Güvenliğin asıl çekişme alanı artık "şifre uzunluğu" değil, kimlik doğrulama mimarisi. Kimlik, artık bir şifre değil — bir süreç, bir kanıt, bir davranış.

Ve bu süreç, herkesin elinde değil — ancak herkesin bilgisiyle başlar.