Parola yöneticisi fikrini ilk duyduğum zaman bana pek güvenli gelmemişti. Daha çok, kolaycı insanların tüm parolalarını yazdığı bir not defteri gibi bir şey olduğunu sandım. Araştırdıkça, belirli kurallara uyduğunuz sürece parola yöneticilerinin aslında çok pratik ve bir o kadar da güvenli olduğunu fark ettim. Bunun hakkında daha önce bir yazı da yazmıştım: Parola Yöneticileri İçin Güvenlik Tavsiyeleri.

Parola yöneticisi kullanmaya karar verdikten sonra yapmam gereken en önemli şeylerden biri; uzun, daha önce hiçbir yerde kullanmadığım, tahmin edilemez, güçlü, hiçbir yere yazmayacağım ve unutmayacağım bir ana parola oluşturmaktı.

İlk önce aklımdan geçen bazı sözleri karıştırdım. Araya ilginç rakamlar ve semboller ekledim. Bazı harfleri rakamlarla değiştirdim; örneğin o yerine 0 yazdım. Sonra bazı harfleri sildim, bazılarını büyüttüm, birkaç sembol daha ekledim derken parola çok garip bir hale geldi.

İlk baştaki anlaşılır sözlerden epey uzaktı ve ben bile bazen karıştırıyordum. Daha kötüsü, bunun sandığım kadar güvenli olmadığını fark ettim. Çünkü aslında tahmin edilebilir bazı kelimeleri ve cümleleri alıp üzerlerinde küçük değişiklikler yapmıştım.

Bunun üzerine “nasıl güvenli parola oluşturulur?” diye araştırmaya başladım. Karşıma parola cümlesi oluşturma araçları çıktı. İngilizcede buna “passphrase” deniyor. Türkçede bence en doğru karşılık “parola cümlesi”. Bundan sonra bu şekilde kullanacağım.

Parola cümlesi nedir?

Parola cümlesi, rastgele seçilmiş birden fazla kelimenin bir araya getirilmesiyle oluşturulan uzun paroladır.

Örneğin:

Kablo-Kaplumbaga-Uzay-Kumas-Peynir

Burada önemli nokta, kelimeleri sizin seçmemenizdir. Kelimeler güvenli bir rastgele sayı üreteciyle seçilmelidir. Çünkü insan olarak biz rastgele seçim yapmakta sandığımız kadar iyi değiliz. Sevdiğimiz, alıştığımız, kulağımıza güzel gelen veya aklımıza ilk gelen kelimeleri seçmeye eğilimliyiz. Bu da parolayı zayıflatabilir.

Parola cümlesinin gücü, kelimelerin gerçekten rastgele seçilmesinden ve toplam uzunluğun yüksek olmasından gelir.

Neden klasik parola yerine parola cümlesi?

Kısa ama karmaşık görünen parolalar genellikle zor hatırlanır:

T4!mZ_9xQ@

Böyle bir şey güçlü görünebilir ama insan için kullanması zordur. Üstelik insanlar bunu hatırlayabilmek için çoğu zaman bir kalıptan üretir. Harfleri rakamlarla değiştirmek, sonuna ünlem koymak, yılı eklemek gibi yöntemler sanıldığı kadar yaratıcı değildir.

Parola cümlesi ise daha uzun olduğu için güçlüdür, kelimelerden oluştuğu için de hatırlaması daha kolay olabilir.

Burada amaç, her hesap için ayrı ayrı parola cümlesi ezberlemek değildir. Günlük siteler için parola yöneticisinin ürettiği benzersiz parolaları kullanmak daha doğrudur. Parola cümlesi ise özellikle gerçekten ezberlemeniz gereken birkaç kritik parola için uygundur:

  • parola yöneticisi ana parolası
  • disk şifreleme parolası
  • Wi-Fi parolası
  • önemli yedek dosyaların parolası
  • nadiren yazılan ama güçlü olması gereken parolalar

Yani parola yöneticisi kullanıyorsanız, her site için ayrı parola cümlesi oluşturmanıza gerek yok. Parola yöneticisi sizin yerinize her site için benzersiz ve güçlü parolalar üretir. Sizin ezberlemeniz gereken asıl şey, parola yöneticisini açan güçlü ana paroladır. Parola cümlesi de özellikle bu ana parola için mantıklı bir seçenektir.

İlk oluşturulan parola cümlesi garip görünebilir

Parola cümlesi oluşturma araçlarında genellikle büyük kelime listeleri kullanılır. Örneğin klasik Diceware listeleri 7776 veya 8192 kelimeden oluşur. Benim hazırladığım Türkçe listede 8192 kelime var. Bu listelerden kelimeler tamamen rastgele seçilir.

İlk oluşturulan parola cümlesi size çok garip gelebilir. Bilmediğiniz kelimeler içerebilir. Hatta ilk bakışta ezberlenemez bir saçmalık gibi görünebilir. Kendinizi, aşina olduğunuz kelimelerden oluşan bir örüntü bulana kadar tekrar tekrar oluştur düğmesine basarken bulabilirsiniz.

Bunu çok fazla yapmanızı önermem. Rahatsız edici veya yazması çok zor bir kelime çıkarsa yeniden oluşturmak normaldir. Ama sadece kulağa güzel gelen, anlamlı bir cümleye benzeyen veya size tanıdık gelen kelimeleri aramak iyi bir alışkanlık değildir. Çünkü bu durumda rastgeleliği fark etmeden azaltmış olursunuz.

Mümkünse varsayılan olarak ilk oluşturulan parola cümlesini kullanın. Beğenmeye çalışmayın; çünkü beğenmeye çalıştıkça genellikle daha tanıdık, daha anlamlı veya size daha yakın gelen kelimeleri seçmeye başlarsınız. Bu da yöntemin asıl gücü olan rastgeleliği zayıflatır.

Bu gariplik normaldir.

Çünkü 8192 kelimelik bir listede herkesin bilmediği kelimeler olması kaçınılmazdır. Kendi ana dilimizde bile binlerce kelimenin tamamını aktif olarak kullanmıyoruz. Bazı kelimeleri görürüz ama kullanmayız. Bazılarını hiç bilmeyiz. Bazıları yabancı kökenli görünür. Bazıları eski veya nadir olabilir.

Burada amaç listedeki her kelimeyi bilmek değildir. Amaç, çıkan kelimelerin yazılabilir, okunabilir ve mümkün olduğunca nötr olmasıdır.

Eğer fiziksel bir sözlüğünüz yoksa, bilmediğiniz kelimelerin anlamlarına çevrim içi sözlüklerden bakabilirsiniz. Bu kelime sorgularının kaydedileceğini hesaba katarsanız, daha fazla güvenlik için sorgulayacağınız kelimelerin sıralamasını karıştırabilir, kullanmayacağınız farklı kelimeleri de sorgulayabilir ve Tor Browser kullanabilirsiniz.

Kelime anlamlarını öğrendikçe ve parola cümlesini birkaç gün boyunca tekrar ettikçe, başta garip görünen şey yavaş yavaş akılda kalmaya başlar.

Nasıl ezberlenir?

Benim önerim şu:

  1. Parola cümlesini güvenli bir şekilde oluşturun.
  2. İlk aşamada tercihen bir kağıda yazın ve kimsenin erişemeyeceği veya bakmayacağı bir yerde saklayın.
  3. Birkaç gün boyunca düzenli olarak yazıp tekrar edin.
  4. Bilmediğiniz kelimelerin anlamlarına bakın.
  5. Ezberlediğinizden emin olduktan sonra kağıdı geri döndürülemez biçimde yok edin.

Burada önemli nokta şu: Bu kağıt kalıcı bir yedek gibi ortalıkta durmamalı. İlk ezberleme sürecinde geçici bir araç olarak kullanılmalı. Fotoğrafını çekmeyin, not defterine kaydetmeyin veya mesaj olarak kendinize göndermeyin. Ezberlediğinizden emin olduktan sonra kağıdı geri döndürülemez biçimde yok edin.

Parola yöneticinizin ana parolasını kaybederseniz, genellikle geri dönüş yoktur. Bu yüzden hem güvenli hem de gerçekten ezberlenebilir bir şey oluşturmak önemlidir.

Entropi ne kadar önemli?

Parola cümlelerinde güvenlik hesabı genellikle entropi üzerinden yapılır. Basitçe söylemek gerekirse entropi, parolanın tahmin edilmesinin ne kadar zor olduğunu ifade eder.

Bu araçta 8192 kelimelik bir liste kullanılıyor.

8192 = 2^13

Yani her kelime yaklaşık 13 bit entropi sağlar.

Yaklaşık değerler:

Kelime sayısıEntropi
5 kelime≈ 65 bit
6 kelime≈ 78 bit
7 kelime≈ 91 bit
8 kelime≈ 104 bit
9 kelime≈ 117 bit

65 bit civarı çoğu kullanım için güçlü ve kullanışlı bir dengedir. 80 bit üstü güçlü, 90 bit üstü ise çoğu kişisel kullanım için oldukça güçlü kabul edilebilir.

Hazırladığım aracın varsayılan ayarı 5 kelimedir ve yaklaşık 65 bit entropi üretir. Bu, günlük kullanım ve hatırlanabilirlik açısından iyi bir başlangıçtır.

Parola yöneticisi ana parolası, disk şifreleme parolası veya çok kritik kullanımlar için 6, 7 veya 8 kelime öneririm.

Daha fazla güvenlik istiyorsanız, sembol veya rakam eklemek yerine kelime sayısını artırın.

Neden Türkçe karakter yok?

Türkçe karakterler uyumluluk için kullanılmıyor. Bazı siteler, uygulamalar veya parola yöneticileri Türkçe karakterleri sorunsuz kabul etmeyebilir. Bu yüzden kelimeler ASCII biçiminde tutuluyor.

Örneğin:

  • ağaç -> agac
  • çanta -> canta
  • güneş -> gunes

İyi tasarlanmış sistemlerin Türkçe karakterleri kabul etmesi beklenir. Yine de her site, uygulama veya parola yöneticisi bunu sorunsuz yapmadığı için bu araçta uyumluluk önceliklendirildi.

Bu biraz estetik kayıp yaratıyor ama pratikte daha az sorun çıkaran bir tercih.

Rastgele rakam eklemek gerekli mi?

Şart değil.

Güvenlik için asıl önemli olan kelimelerin rastgele seçilmesi ve kelime sayısının yeterli olmasıdır. Rastgele rakam eklemek az miktarda ek entropi sağlar. Ayrıca bazı sitelerin “parolada rakam olmalı” kuralını karşılamak için işe yarayabilir.

Ayraç olarak ne kullanılmalı?

Ayraç güvenlikten çok okunabilirlik meselesidir.

Yaygın seçenekler:

  • Agac-Deniz-Kalem
  • Agac_Deniz_Kalem

Tire genellikle en uyumlu seçenektir. Boşluk bazı sitelerde sorun çıkarabilir.

Türkçe parola cümlesi oluşturucu

Hazırladığım bu araç tarayıcıda çalışır. Oluşturulan parola cümlesi sunucuya gönderilmez, kaydedilmez ve takip edilmez.

Aracı buradan deneyebilirsiniz: Parola Cümlesi Oluşturucu

Özellikler:

  • 8192 kelimelik Türkçe liste
  • yaklaşık güç ve entropi hesabı
  • kelime sayısı seçimi
  • ayraç seçimi
  • baş harfleri büyütme seçeneği
  • rastgele rakam ekleme seçeneği

Kelime listesini de ayrıca GitHub’da yayınladım:

furuycom/turkce-parola-cumlesi-listesi

Manuel yöntem: Zarola

Bu işi araç kullanmadan, fiziksel zarlarla yapmak isterseniz Zarola yöntemine de bakabilirsiniz. Zarola, Diceware yönteminin Türkçe karşılığı olarak düşünülebilir; kelimeler bilgisayar yerine zar atılarak seçilir.

Daha fazla bilgi için: Zarola - Özgür Yazılım Derneği

Sonuç

Kendi aklımızdan güçlü parola üretmeye çalıştığımızda çoğu zaman tahmin edilebilir kalıplara düşüyoruz. Harfleri rakamlarla değiştirmek, semboller eklemek veya kelimeleri bozmak parolayı her zaman sandığımız kadar güçlü yapmıyor.

Güçlü bir parolaya ihtiyacınız varsa, rastgele seçilmiş kelimelerden oluşan uzun bir parola cümlesi kullanın.