Parola ve Entropi: Güvenliğinizin arkasındaki bilim

Wed, 03 Jun 2026 00:00:00 +0000

« Parolanız 8 karakter, bir büyük harf, bir küçük harf, bir rakam ve bir özel karakter içermelidir. »

Hepimiz bu kuralı biliyoruz. Ancak siber güvenlikte buna “güvenlik tiyatrosu” diyoruz. P@ssw0rd1! gibi bir parola bu kuralların hepsine uyar, ancak herhangi bir modern bilgisayar korsanlığı yazılımı tarafından göz açıp kapayıncaya kadar kırılır.

Gerçek güvenlik, keyfi görsel kurallara değil, affetmez bir matematiksel gerçekliğe dayanır: entropi.

Claude Shannon’a Göre Entropi

Bir parolanın gücünü anlamak için bilgi teorisinin babası Claude Shannon’a bakmalıyız. Entropi, bilginin belirsizlik veya öngörülemezlik derecesini ölçer.

Parolalara uygulandığında entropi bit cinsinden hesaplanır. Bit sayısı ne kadar yüksek olursa, parolanın bir bilgisayar için öngörülmesi o kadar zor olur. Rastgele oluşturulmuş bir parolanın entropisi (E) için basitleştirilmiş formül şöyledir:

E = L × log2(R)

L parolanın uzunluğudur.
R havuz boyutudur (küçük harfler için 26, büyük harfler ve rakamlar eklendiğinde 62, sembollerle birlikte 94).

Havuz boyutunu artırmak (semboller eklemek) entropiyi artırır, ancak uzunluğu artırmak (karakter eklemek) bunu çok daha ciddi şekilde artırır. Ancak uzunluk, karmaşıklığı yalnızca tek bir şartla yener: parolanın tamamen rastgele oluşturulması gerekir.

Kaba Kuvvet (Brute Force) vs. Sözlük Saldırısı

Kelimeler veya öngörülebilir yapılar kullanırsanız, salt uzunluk kuralı çöker.

Bilgisayar korsanlığı yazılımları tüm harf kombinasyonlarını tek tek denemez (buna Kaba Kuvvet / Brute Force denir). Milyarlarca mevcut kelime, yaygın ifade ve geçmiş veri sızıntılarını içeren devasa veritabanları kullanırlar. Bu Sözlük Saldırısıdır (Dictionary Attack).

Parolanız uzun olsa bile sözlük kelimelerinden veya öngörülebilir değiştirmelerden oluşuyorsa, gerçek entropisi teorik matematiksel entropisinden önemli ölçüde düşüktür.

Modern grafik kartlarından (GPU) oluşan bir kümeye karşı tahmin edilen kırılma süreleri aşağıdadır; yapısal zayıflıklardan yararlanılarak bulunan en hızlı yol kalın harflerle vurgulanmıştır:

Parola	Teorik Entropi	Kaba Kuvvete Karşı	Sözlüğe Karşı
`password123`	~15 bit	Birkaç saat	Anında
`S3cr3t!99`	~40 bit	Birkaç yıl	Birkaç saat / gün (mutasyonlar yoluyla)
`correct horse battery staple`	~130 bit	Milyarlarca yıl	Birkaç saat / gün
`gL7!pQ9z#vX2`	~78 bit	~3.000 yıl	Başarısızlık (Kaba kuvvete dönüş)

Leetspeak Yanılsaması ve Mutasyon Kuralları

S3cr3t!99 örneğini ele alalım. Görsel olarak karmaşık ve sağlam görünüyor. Oysa bu sadece sözlükteki “secret” kelimesidir, ’e’ harfleri ‘3’ ile değiştirilmiş ve sonuna çok yaygın bir ek (!99) eklenmiştir. Buna leetspeak denir.

Sözlük saldırısına karşı bu parola sadece birkaç saat, hatta dakikalar dayanabilir. Modern kırma yazılımları (Hashcat gibi) yalnızca statik kelime listelerini test etmekle yetinmez; otomatik olarak mutasyon kuralları uygularlar. Sözlüklerindeki her kelimeyi alırlar, olası tüm leetspeak kombinasyonlarını test ederler, büyük-küçük harfleri değiştirirler ve yıllar veya semboller eklerler. Leetspeak yalnızca yanlış bir güvenlik hissi sağlar.

Klavye Kaydırma Hilesi (Keyboard Shift)

Akılda kalıcı bir ifadeyi karmaşıklaştırmak için bazıları klavye düzenini kaydırma hilesini kullanır. Örneğin, my-cat gibi bir ifadeyi ezberlersiniz. Ancak bunu yazarken işletim sisteminiz AZERTY (Fransızca) olarak ayarlanmışken parmaklarınızı fiziksel bir QWERTY klavyeye yerleştirirsiniz.

Düşünülen kelime: my-cat
Yazılan sonuç: ,y)cqt (’m’ tuşu ‘,’ olur; ‘-’ ise ‘)’ olur; ‘a’ ise ‘q’ olur).

OPSEC’te bu iyi bir fikir mi? Hayır, tek başına kullanıldığında bu yöntem yeterli değildir. Tıpkı leetspeak’te olduğu gibi, gelişmiş kırma yazılımları uluslararası klavye kaydırmalarını (QWERTY, AZERTY, QWERTZ, Dvorak) otomatik olarak test eden donanım mutasyon kuralları içerir. OPSEC’te bu gizlilik yoluyla güvenliktir: amatör bir saldırganı geciktirir, ancak hedefli ve donanımlı bir saldırıyı durdurmaz.

Bununla birlikte, bu teknik halihazırda temelde güçlü olan bir parolayla birleştirilirse (çok uzun, akılda kalıcı bir parola cümlesi gibi), halihazırda sağlam olan bir yapının içine beklenmedik özel karakterler sokarak entropiyi önemli ölçüde artırır.

İdeal Parolanın Oluşturulması (~250 bit)

Kelime listelerinin, leetspeak’in ve yazma hilelerinin sınırları varsa, mükemmel ana parolayı nasıl oluşturabiliriz? Optimum güvenliğe ulaşmak ve yeni nesil bilgisayar araçlarına direnmek için mevcut hedef yaklaşık 250 bit entropiye ulaşmaktır.

İhtiyaçlarınıza bağlı olarak bunu başarmanın iki yolu vardır:

1. Tamamen Rastgele Seçenek (Parola yöneticisi için idealdir)

Tamamen rastgele oluşturulmuş bir karakter dizisi, bir makinenin tahmin etmesini son derece zorlaştırır: k9$Yz2!pL#8vQx5@mN7*jW4&hC1%bF3^tR9(dZ6 Tüm sembol havuzunu kullanan 39 rastgele karakter.

2. Hibrit Parola Cümlesi Seçeneği (Akılda kalıcı bir ana parola için idealdir)

Rakamlar ve sembollerle sıkı bir şekilde birleştirilmiş, rastgele oluşturulmuş sözlük kelimelerinin bir dizisi: Sovereign_Crypto_99_Privacy_Zero_Knowledge_Secure_2026_Key_Lock_Cloud_Act_Grover Bu yöntem, bir insanın yapıyı görsel veya kas hafızasıyla ezberlemesine olanak tanırken devasa bir matematiksel bariyeri korur.

Kuantum Tehdidi: Grover Algoritması

128 bit günümüzün süper bilgisayarlarını zaten engelliyorken neden 250 biti hedefleyelim? Cevap, kuantum hesaplamanın ortaya çıkışında yatıyor.

Kriptografide Grover algoritması, bir kuantum bilgisayarın sıralanmamış bir veritabanında klasik bir bilgisayardan çok daha hızlı arama yapmasını sağlar. Somut olarak Grover, simetrik bir anahtarın veya parolanın etkili güvenlik seviyesini yarıya indirir.

Grover algoritmasını çalıştıran bir kuantum bilgisayarına karşı, 128 bit entropili bir parola yalnızca 64 bite eşdeğer bir direnç sunacaktır (bu da kırılabilir hale gelir).

Sonuç olarak, kuantum sonrası bir dünyada gerçek 128 bit güvenliği sürdürmek için başlangıç entropisini iki katına çıkarmak gerekir. Bu, Harvest Now, Decrypt Later (HNDL) konseptinin temel direklerinden biridir: devlet saldırganları yarın kırmak için bugün şifrelenmiş verileri vakumluyor. 250 bit entropiyi hedeflemek, ana anahtarlarınızı uzun vadede korumak için asgari standarttır.

Arpokrat Password Generator: Kendiniz Test Edin

Erişiminizin güvenliğini şansa bırakmayın. Kriptografik olarak sağlam (kuantum sonrası dahil) parolalar oluşturmanıza ve hepsinden önemlisi kendi parolalarınızın gerçek entropisini değerlendirmenize olanak tanıyan dahili bir araç geliştirdik.

👉 Arpokrat Password Generator

Mevcut parolalarınızı modern hesaplama gücüne dayanıp dayanamayacaklarını görmek için test edin. Araç, tarayıcınızda %100 yerel olarak çalışır, ağda hiçbir veri dolaşmaz.

Son Zayıf Halka: Geri Dönüşüm ve Erişim Yönetimi

Matematiksel entropi insan hatasına karşı koruma sağlamaz. 250 bitlik bir parola, birden fazla sitede yeniden kullanılırsa (Credential Stuffing adı verilen bir saldırı) veya ikinci bir kimlik doğrulama faktörü (2FA) ile korunmuyorsa işe yaramaz.

Dijital hijyenin altın kuralı, sadece tek bir parolayı hatırlamak zorunda olmaktır: 250 bitlik ana parolanız (hibrit bir parola cümlesi şeklinde). Diğer tüm erişimleriniz (banka, sosyal ağlar, sunucular), kendileri için özel olarak oluşturulmuş 250 bit saf entropiye (rastgele karakter dizileri) sahip benzersiz parolalar kullanmalıdır.

Kafanızda hatırlanması imkansız olan bu hacimdeki anahtarları depolamak ve yönetmek için Sıfır Bilgi (Zero-Knowledge) parola yöneticisi kullanımı çok önemlidir. Mevcut en iyi standartlardan biri Proton Pass’tir. İsviçre merkezli, açık kaynaklı ve uçtan uca şifreli olması, kendi mühendislerinin bile kasanızın içeriğini okuyamamasını garanti eder. Arpokrat tarafından üretilen ultra güçlü anahtarları depolamak ve tüm dijital yaşamınızı gerçek bir matematiksel bariyerin arkasına kilitlemek için ideal bir yol arkadaşıdır.

Parola on Arpokrat