Birkaç yıl önce tüm hesaplarımda aynı şifreyi kullanıyordum. “123456” değil tabii ama yine de tahmin edilebilir bir şey: evcil hayvanımın adı ve doğum yılını birleştiriyordum. Her hesapta aynı. Bir gün de bir forum sitesinden veri sızıntısı oldu ve şifrem ele geçirildi. Sonuç? E-posta, sosyal medya, alışveriş sitesi — hepsi aynı anda tehlikeye girdi.
O günden beri şifre konusunda ciddi bir paranoya geliştirdim. Ve siz de geliştirmelisiniz. Çünkü 2026’da hâlâ milyonlarca insan “123456” ve “şifre” yazıyor.
Konu İçeriği
En Çok Kullanılan Şifreler Hâlâ Şoke Edici
Her yıl siber güvenlik şirketleri en çok kullanılan şifreleri listeliyor. 2025 verilerine göre dünya genelinde en popüler şifreler: 123456, admin, 123456789, şifre, 12345678.
Bu şifreleri kırmak ne kadar sürer sence? Saniyeden daha az. Otomatik araçlar saniyede binlerce kombinasyon deniyor ve bu şifreler ilk denemede bulunuyor.
NordPass’ın 2024 raporuna göre, kullanıcıların yüzde 30’u tüm hesapları için aynı şifreyi kullanıyor. Yani bir hesap sızırıldığında, diğer tüm hesaplar da otomatik olarak tehlikeye giriyor. Ben de yıllarca o gruptaydım.
Güçlü Bir Şifrenin Kuralları
En Az 12 Karakter Olsun
Eskiden 8 karakter yeterli denirdi. Artık değil. 2026’da brute-force saldırıları çok daha güçlü. 8 karakterli bir şifre modern bir bilgisayarda saatler içinde kırılabilir. 12 karakterle bu süre yıllara çıkar.
Ben şahsen 16 karakter kullanıyorum. Evet, ezberlemek imkansız ama zaten şifre yöneticisi kullanıyorum — ona sonra geleceğim.
Harf, Rakam ve Özel Karakter Karışımı
Sadece küçük harflerden oluşan bir şifre zayıftır. Büyük harf, küçük harf, rakam ve özel karakter (!@#$% gibi) içeren bir şifre çok daha güçlü olur.
Ama “Aa123456!” yazmak işe yaramaz. Bu formata uyar gibi görünür ama yine de tahmin edilebilir. Önemli olan rastgeleliğin korunması.
Kişisel Bilgi Kullanmayın
Doğum tarihi, evcil hayvan adı, futbol takımı, şehir adı — bunların hepsi kötü şifre malzemesi. Sosyal medyaya bakarak bu bilgileri bulmak çocuk oyuncağı. Instagram’da köpeğinizin adını paylaşmışsınız, profilinizde doğum tarihiniz yazıyor… Şifreniz hazır.
Bir keresinde arkadaşımın hesabını “tahmin etme” oyunu oynadık. 5 dakikada buldum şifresini — köpeğinin adı ve doğum yılıydı. Sosyal medyasından bakıp bulmuştum. O günden beri o da şifre değiştirdi.
Her Hesapta Farklı Şifre Olsun
Bu en önemli kural. Bir hesabınız sızarsa, diğerleri güvende kalmalı. Ama bunu nasıl yapacaksınız? 50 farklı hesabınız varsa 50 farklı şifre ezberleyemezsiniz. İşte burada şifre yöneticileri devreye giriyor.
Şifre Yöneticisi Kullanmak Şart
Şifre yöneticisi, tüm şifrelerinizi şifrelenmiş bir kasada tutan bir yazılım. Bir ana şifre bilirsiniz, o da tüm diğerlerini yönetir.
Kullanmaya başlamadan önce çok şüpheliydim. “Ya yöneticinin kendisi hacklenirse?” diye düşünüyordum. Ama sonra öğrendim ki iyi bir şifre yöneticisi sıfır bilgi mimarisi kullanıyor — yani sizin ana şifrenizi bile bilmiyorlar.
Hangi Şifre Yöneticisini Tercih Etmeli?
- Bitwarden — açık kaynak kodlu, ücretsiz planı çok yeterli, ben bunu kullanıyorum
- 1Password — ücretli ama çok iyi arayüzü var, aile planı mevcut
- KeePass — tamamen yerel, bulut bağlantısı yok, maksimum kontrol isteyenler için
Ben Bitwarden’e geçeli iki yıl oldu ve hayatım değişti. Her site için 20 karakterli rastgele şifre üretiyorum, hepsini otomatik dolduruyor. Tek hatırladığım ana şifrem.
İki Faktörlü Doğrulama (2FA) Açın
Güçlü şifre tek başına yetmez. İki faktörlü doğrulama, hesabınıza giriş yaparken şifrenize ek olarak ikinci bir doğrulama ister. Genelde telefonunuza gelen kod veya bir authenticator uygulaması.
Google’ın verilerine göre, 2FA açılan hesaplarda yetkisiz giriş girişimleri yüzde 99.9 oranında engelleniyor. Bu rakam her şeyi özetliyor.
2FA seçenekleri:
- SMS doğrulama — en kolay ama en zayıf. SIM kopyalama riski var
- Authenticator uygulaması (Google Authenticator, Authy) — daha güvenli
- Hardware key (YubiKey) — en güvenli seçenek
Ben kritik hesaplarımda (e-posta, banka, GitHub) YubiKey kullanıyorum. Diğer hesaplarda authenticator uygulaması var. SMS doğrulamayı artık sadece az önemli hesaplarda kullanıyorum.
Parola Cümlesi Yöntemi
Rastgele karakterleri ezberlemek zor mu geliyor? Parola cümlesi yöntemi daha kolay olabilir. Birkaç kelimeyi birleştirip araya özel karakterler koyuyorsunuz:
Örnek: Mavi-Kedi-Uzayda-Siir-Okur!2026
Bu şifre 30 karakter uzunluğunda, tüm kurallara uyuyor ve görece kolay hatırlanıyor. Çünkü zihninizde bir hikaye canlandırıyor: mavi kedi uzayda şiir okur.
Hackerlar bu şifreyi kırabilir mi? Brute-force ile deneseler trilyonlarca yıl sürer. Sözlük saldırısı ile deneseler, kelimelerin kombinasyonu yine çok büyük bir alan oluşturuyor.
Şifreniz Sızdırılmış mı Kontrol Edin
Peki daha önce kullandığınız şifrelerin bir veri sızıntısında ele geçirilip geçirilmediğini nasıl anlarsınız?
Have I Been Pwned (haveibeenpwned.com) sitesine e-posta adresinizi yazın. Eğer adresiniz bilinen bir sızıntıda varsa size hangi sızıntılarda olduğunu gösteriyor.
Ben kontrol ettiğimde e-posta adresimin 4 farklı veri sızıntısında olduğunu gördüm. Linkedin, Adobe ve iki forum sitesi. Eskiden kullandığım şifreler artık saldırganların elinde demek. Neyse ki hepsini değiştirmiştim.
Sıkça Sorulan Sorular
Kaç karakterli şifre güvenli olur?
En az 12 karakter önerilir ama 16 ve üzeri idealdir. 2026’da 8 karakterli bir şifre saatler içinde kırılabilir. Karakter sayısı arttıkça kırılma süresi üssel olarak artar.
Şifre yöneticisi güvenli mi?
Evet. İyi bir şifre yöneticisi (Bitwarden, 1Password) sıfır bilgi mimarisi kullanır — yani sizin şifrelerinize erişemezler bile. Verileriniz cihazınızda şifrelenir, sunucuya öyle gider.
Her hesap için farklı şifre mi kullanmalıyım?
Kesinlikle. Bir hesabınız sızarsa diğerleri güvende kalmalıdır. Bunu yönetmenin tek pratik yolu şifre yöneticisi kullanmaktır.
SMS doğrulama yeterli mi?
Temel koruma sağlar ama en güvenli seçenek değil. SIM kopyalama saldırıları ile SMS’ler ele geçirilebilir. Authenticator uygulaması veya hardware key daha güvenlidir.
Şifremi ne sıklıkla değiştirmeliyim?
Eskiden “her 90 günde bir değiştirin” derlerdi. Artık bu yaklaşım değişti. Şifreniz güçlü ve sızdırılmamışsa değiştirmeye gerek yok. Ama bir sızıntıdan şüpheleniyorsanız hemen değiştirin.
Sonuç
Güvenli şifre oluşturmak rocket science değil. Birkaç basit kural yeterli: uzun olsun, kişisel bilgi içermesin, her hesapta farklı olsun ve iki faktörlü doğrulama açın.
Ben bunları öğrenene kadar yıllarca riske maruz kaldım. Bir veri sızıntısı sayesinde uyandım ama sizin aynı şeyi yaşamanıza gerek yok. 10 dakikanızı ayırın, bir şifre yöneticisi kurun, 2FA açın. Ondan sonrası kendiliğinden geliyor.
Unutmayın: en güçlü şifre, bir insanın hatırlayamayacağı ama bir makinenin saniyelerce kıramayacağı olandır. Şifre yöneticisi kullanın ve rahat edin.
