Bir gece sunucu loglarına bakarken gözüme bir şey takıldı. Binlerce başarısız giriş denemesi. IP adresleri dünyanın dört bir yanından. Ve denenen şifreler… “admin123”, “password”, “123456”… O an düşündüm: “Ciddi misin? Hâlâ bunları deniyorlar?”
Evet, ciddiler. Ve bu yöntem çalışıyor. Çünkü insanlar hâlâ korkunç derecede kötü şifreler kullanıyor. Hackerlar da bunu biliyor. Bu yazıda kendi sunucumda gördüklerimi ve şifre güvenliği hakkında öğrendiklerimi paylaşacağım. Belki birilerinin şifresini değiştirmesine vesile olurum.
Konu İçeriği
Dünyanın En Çok Kullanılan Şifreleri (Korkutucu Gerçek)
NordPass’in 2025 yılındaki araştırmasına göre dünyada en çok kullanılan şifre altıncı kez aynı: “123456”. Evet, 2025 yılında, yapay zekânın her yeri sardığı bir dönemde, milyonlarca insan hâlâ “123456” yazıyor. Bu şifreyi tam 2,543,285 kişi kullanmış ve bu şifre veri ihlallerinde 23,597,311 kez tespit edilmiş.
İşte dünya çapında en çok kullanılan ilk 10 şifre:
- 123456
- 12345
- 12345678
- 123456789
- password
- 1234567890
- skibidi (evet, bir internet memesinden geliyor)
- 1234567
- pakistan123
- assword (ilk “p” harfi unutulmuş)
“Assword” kısmı beni güldürdü ama konu komik değil. Bu şifrelerin hepsi 1 saniyeden daha kısa sürede kırılabiliyor. Ve inanın bana, hackerlar bu listeyi sizden çok daha iyi biliyor.
Hackerlar Şifreleri Nasıl Kırıyor?
Çoğu insan “hackerler teker teker şifreleri deniyor” sanıyor. Hayır, öyle yapmıyorlar. İşin çok daha sistematik ve otomatik.
Brute-Force Saldırıları
En basit yöntem: bilgisayar programı tüm olasılıkları sırayla dener. Hashcat gibi araçlar, modern GPU’larda (örneğin 2x RTX 4090) MD5 hash’ler için saniyede milyarlarca deneme yapabiliyor. Saniyede milyarlarca. Yani 6 haneli bir şifre, saldırı başladığı anda kırılıyor demek.
Argon2 gibi güçlü bir hash algoritması kullanıldığında işler değişiyor: aynı donanımla saniyede yaklaşık 3.395 deneme yapılabiliyor. Ama bu sadece saldırıyı yavaşlatır, durdurmaz.
Sözlük Saldırıları
Brute-force tüm kombinasyonları dener. Sözlük saldırısı ise önceden hazırlanmış kelime listelerini kullanır. Bu listelerde en yaygın şifreler, isimler, doğum tarihleri, popüler kelime öbekleri vardır. “Ahmet1990”, “istanbul123” gibi şifreler bu listede kesinlikle var.
Credential Stuffing
Bu yöntem en tehlikelisi. Önceki veri ihlallerinde sızdırılan e-posta ve şifre çiftleri, başka sitelerde deneniyor. Mantık basit: çoğu insan aynı şifreyi her yerde kullanıyor. Have I Been Pwned verilerine göre tek başına 2024-2025 döneminde milyarlarca hesap bilgisi sızdırıldı. Bunların hepsi credential stuffing için kullanılıyor.
Veri İhlalleri: Şifreniz Çoktan Çalınmış Olabilir
Have I Been Pwned, şifre güvenliği alanında en güvenilir kaynaklardan biri. Platform 985 farklı veri ihlalini kayıt altına almış. Aylık 18 milyardan fazla sorgu işleniyor.
2024-2025’teki büyük ihlallerden bazıları:
- Deezer: 229 milyon hesap
- National Public Data: 134 milyon hesap
- DemandScience: 121,8 milyon hesap
- Advance Auto Parts: 79,2 milyon hesap
- Hot Topic: 56,9 milyon hesap
- AT&T: 49,1 milyon hesak
Bunlar sadece bilinen, tespit edilen ihlaller. Kaç tane daha var, henüz kimse bilmiyor. Kendi şifrenizin sızdırılıp sızdırılmadığını haveibeenpwned.com‘dan kontrol edebilirsiniz. Ben kendi e-postamı yazdığımda 3 farklı ihlalde adımın geçtiğini gördüm. Üç farklı sitede bilgilerim sızdırılmış. Güzel 🙂
Şifreniz Ne Kadar Güvende?
Bunu gerçekten merak ediyorsanız, Security.org’un aracını kullanabilirsiniz. Ama ben size genel bir tablo çizeyim:
6 haneli, sadece küçük harf: Saniyeler içinde kırılır. “abcdef” yazıyorsanız şifreniz yok demektir.
8 haneli, küçük+büyük harf: Saatler içinde kırılır. “Ahmet123” gibi bir şifre sizi korumaz.
10 haneli, karışık: Aylar sürebilir. Ama modern GPU’larda bu süre giderek kısalıyor.
12 haneli, karmaşık (harf+rakam+özel karakter): Yaklaşık 34.000 yıl. Buraya kadar gelirseniz, hackerlar pes eder.
Amerikalıların %45’i 8 karakter veya daha kısa şifre kullanıyor. Ve zayıf şifreler, tüm veri ihlallerinin %80’ine sebep oluyor. Bu rakamlar beni kendi şifrelerimi gözden geçirmeye itti.
Kendi Deneyimim: Sunucumda Neler Oluyordu?
Bir süre önce WordPress siteme kurulan bir güvenlik eklentisi sayesinde giriş denemelerini izlemeye başladım. Bir hafta içinde binlerce başarısız giriş denemesi gördüm. Hepsi “admin” kullanıcı adını deniyordu. Ve denenen şifreler?
- admin123
- password
- 12345678
- admin2024
- qwerty
- letmein
- welcome1
Tamamen otomatik, tamamen programlanmış saldırılar. Bir insan değil, bir bot ağı bunu yapıyordu. Ve bu sadece benim küçük blogum. Daha büyük siteler günde on binlerce böyle deneme alıyor.
Sonra ne yaptım? İlk iş “admin” kullanıcı adını değiştirdim. WordPress kurulumlarında varsayılan olarak “admin” kullanılır ve hackerlar bunu bilir. Kullanıcı adını değiştirmek bile saldırıların %90’ını engeller. Ardından iki faktörlü doğrulama (2FA) açtım. Artık şifremi bilseler bile hesabıma giremezler.
Neler Yapmalısınız?
Bu yazıyı okuduktan sonra hemen yapmanız gereken şeyler:
1. Aynı şifreyi her yerde kullanmayın. E-posta, banka, sosyal medya — hepsi farklı şifre olmalı. Biri sızarsa diğerleri güvende kalsın.
2. En az 12 karakter kullanın. Harf, rakam ve özel karakter karışımı olsun. “KedimB4zlıkta!” gibi hatırlanabilir ama güçlü bir şifre yapabilirsiniz.
3. Şifre yöneticisi kullanın. Bitwarden, 1Password, KeePass — hangisi işinizi görürse. Her hesap için benzersiz, karmaşık şifreler üretiyor ve siz tek bir ana şifreyi hatırlıyorsunuz.
4. 2FA açın. E-posta, bankacılık, sosyal medya hesaplarınızda iki faktörlü doğrulama mutlaka açık olsun. Şifreniz çalındığında tek koruyucunuz bu olur.
5. Have I Been Pwned’i kontrol edin. E-postanızı yazın, bilgileriniz bir ihlalde var mı görün. Varsa o sitelerdeki şifrenizi hemen değiştirin.
Sıkça Sorulan Sorular
Hackerlar şifreleri nasıl buluyor?
Çoğunlukla veri ihlallerinden sızan veritabanlarını kullanıyorlar. Have I Been Pwned, 985 farklı ihlali kayıt altına almış. Bu veriler karanlık ağda satılıyor ve credential stuffing saldırılarında kullanılıyor. Ayrıca brute-force ve sözlük saldırılarıyla da deneme yanılma yapıyorlar.
Kaç karakterli şifre güvenli olur?
Minimum 12 karakter öneriyorum. Harf, rakam ve özel karakter içeren 12 haneli bir şifreyi kırmak modern donanımla binlerce yıl sürer. 8 karakter ve altı ise artık güvenli değil.
Aynı şifreyi birden fazla yerde kullanırsam ne olur?
Bir site hacklenirse, hackerlar o e-posta ve şifre çiftini başka sitelerde dener (credential stuffing). Aynı şifreyi kullandığınız tüm hesaplar tehlikeye girer. Her hesap için benzersiz şifre şart.
Şifre yöneticisi güvenli mi?
Evet, güvenli. Bitwarden açık kaynaklı ve denetlenmiş. 1Password ve KeePass da güvenilir seçenekler. Ana şifrenizi güçlü tuttuğunuz sürece, tüm hesaplarınız için benzersiz ve karmaşık şifreler üretip saklayabilirsiniz.
Sonuç
Hackerlar “123456” deniyor çünkü çalışıyor. İnsanlar hâlâ bu şifreyi kullanıyor ve saldırganlar bundan faydalanıyor. Ama bu durumu değiştirmek sizin elinizde.
Ben kendi sunucumda binlerce giriş denemesi gördükten sonra uyanmıştım. Kullanıcı adımı değiştirdim, 2FA açtım, tüm şifrelerimi yeniledim. İlk başta canım sıkıldı ama bir kere yaptıktan sonra rahatladım. “Keşke daha önce yapsaydım” dedim, her zamanki gibi.
IBM’in 2025 raporuna göre bir veri ihlalinin global ortama maliyeti 4,4 milyon dolar. Şirketler için bu rakam çok büyük ama bireysel kullanıcılar için hesap kaybı, kimlik hırsızlığı ve daha fazlası ciddi bir kabus olabilir.
Şifrenizi bugün değiştirin. Yarına bırakmayın. Çünkü hackerlar beklemez.
