Trispera Sağlık A.Ş. BT Direktörü Çağdaş Kimyon; Fikir Liderleri okurları için yazdı: “Kalenin Anahtarı Paspasın Altında!..”
“Günümüz insanı veri gizliliği konusunda hiç olmadığı kadar bilinçli davranıyor gibi görünse de pratikte tam tersi bir tablo var.”
Parola&Şifre
Siber Güvenlik
Çağdaş Kimyon
Trispera Sağlık A.Ş. BT Direktörü
Dijital güvenlik konusu günümüzde ağ mimarileri, kriptografi, kimlik doğrulama protokolleri, izleme sistemleri, yapay zekâ destekli tehdit algılama ve çok daha fazlasını kapsayan devasa bir evren. Teknoloji ilerledikçe siber güvenlik sistemleri gelişiyor ama insanlık parola seçiminde hâlâ “123456” ve “password” arasında kararsız kalıyor.
Günümüz insanı veri gizliliği konusunda hiç olmadığı kadar bilinçli davranıyor gibi görünse de pratikte tam tersi bir tablo var. Her yıl yayımlanan farklı veri ihlali raporlarında tespit aynı.
Milyonlarca kullanıcı, karmaşık parola politikalarına rağmen en kolay tahmin edilebilir parolaları kullanmaya devam ediyor. “Büyük harf, küçük harf, rakam, sembol” uyarısına denk geldiğinde, çoğu kişi “Parola2025!” gibi bir formülle kendi güvenliğini sağladığını sanıyor. Halbuki bu tür şifreler, en basit algoritmalarla bile saniyeler içinde kırılabiliyor.
Bir parolayı seçerken beynimiz “hatırlanabilirlik” arıyor. Zaten parolalarda doğum tarihleri, yakınların isimleri, futbol takımı adları, evcil hayvan isimleri kullanmak da bu arayışın sonucu. Hepsi kolay hatırlanıyor ama bu tür parolalar belirlemenin paspasın altına anahtar bırakmaktan farkı olmuyor. Üstelik, Panda Security verilerine göre, kullanıcıların %23’ü aynı parolayı birden fazla hesapta kullanıyor.(1) Bu da bir hesabın ele geçirilmesi durumunda, diğer hesaplara kolayca erişilebileceği anlamına geliyor.
Yeni yapay zekâ sistemleri, milyonlarca sızdırılmış parolayı analiz ederek insanların hangi tür sözcükleri seçtiğini öğreniyor ve sadece sözcük tahmini yapmıyor, yıl ekleme, bir harfi büyük yapma, ünlem koyma gibi insan davranışlarını da tahmin ediyor.
Eskiden parolalar deneme-yanılma (brute force) yöntemleriyle kırılırdı. Günümüzde ise yapay zekânın oyuna katılmasıyla durum tamamen değişti. PassGAN adlı model, 15 milyon parolayla eğitildi ve testlerde insanların yarısının parolasını birkaç dakika içinde kırabildi.(2) Yeni yapay zekâ sistemleri, milyonlarca sızdırılmış parolayı analiz ederek insanların hangi tür sözcükleri seçtiğini öğreniyor ve sadece sözcük tahmini yapmıyor, yıl ekleme, bir harfi büyük yapma, ünlem koyma gibi insan davranışlarını da tahmin ediyor.(3)
Pek çok kişi “parola değiştirin” uyarısını gördüğünde sadece sonuna bir rakam ekliyor veya bir karakteri değiştiriyor. Parolayı “Parola2026!” olarak güncellemek aslında yapay zekânın işini kolaylaştırıyor. Çünkü bu ve benzeri kalıplar binlerce kez tekrarlandığı için algoritmaların sözlüklerinde zaten yer alıyorlar. Bu nedenle, yapay zekâ tabanlı parola analizleri bu tür küçük varyasyonları kolayca fark edebiliyor.
Artık yalnızca şifre kullanmanın yeterli ve güvenli olmadığı bir dönemdeyiz. Kurumlar ve uygulamalar giderek çok faktörlü kimlik doğrulama (MFA) sistemlerine geçiyor. Bu yöntem, giriş için ikinci bir kanıt (örneğin SMS kodu, yüz tanıma, parmak izi vb.) istiyor. Microsoft’un analizine göre, MFA kullanımı veri ihlali riskini %99’a kadar azaltabiliyor.(6) Kullanıcılar bu sistemleri çoğu zaman “uğraştırıcı” bulduğundan kapatıyor. İronik bir biçimde, sistemler daha güvenli hale gelirken, kullanıcılar güvenliği bilinçli olarak devre dışı bırakıyor.
Bu durum yalnızca bireysel kullanıcılarla sınırlı kalmıyor; kurumlar da aynı güvenlik açığı döngüsünün içinde yer alıyor. Örneğin, çalışanların %57’si iş hesaplarına ait parolaları yapışkan not kağıtlarına yazarken, bunların %67’si notları kaybettiklerini kabul ediyor. %62’si sistem giriş bilgilerini defterde saklıyor ve bu defterlerin %82’si iş cihazlarına yakın yerlerde tutuluyor. Yani milyon dolarlık güvenlik altyapısına rağmen en basit hatırlama stratejileri bile kurum güvenliğini tehdit ediyor.(4)
Zayıf parola alışkanlıkları tek başına problem değil; bu davranışların kurum politikalarıyla aşılamaması da büyük bir risk taşıyor. Neredeyse tüm bilişim teknolojileri yöneticileri, kimlik bilgisi (kullanıcı adı, parola, erişim anahtarı vb.) sorunlarıyla uğraşıyor. En yaygın sorunlar arasında unutulan şifreler, zayıf şifre oluşturma ve çalışanların parolaları güvensiz biçimlerde paylaşması bulunuyor. Çalışanların %51’i siber güvenlik eğitimini o kadar büyük bir yük olarak görüyorlar ki saatlerce trafikte sıkışıp kalmayı, izin günlerinden feragat etmeyi, bilgisayar kullanmaktan vazgeçmeyi ve hatta kanal tedavisi olmayı tercih edeceklerini belirtiyorlar.(5) Bu tablo gösteriyor ki en iyi altyapı kurulsa bile, temel kullanıcı davranışları değişmediği sürece savunma hattı zayıf kalıyor.
Araştırmacılar artık daha güçlü parolalar üretmekten çok, parolasız bir geleceğin peşinde koşuyor. Kim bilir, belki bir gün parolalar tarihe karışır ve parmak izimiz, sesimiz ya da sadece bir bakışımız kimliğimizin anahtarı hâline gelir.
Belki de çözüm daha karmaşık güvenlik sistemleri değil, daha basit alışkanlıklar geliştirmektir:
👉🏻 Parola yöneticisi uygulamalarıyla her hesabınız için güçlü ve benzersiz şifreler oluşturun. Parola yöneticileri, onlarca karmaşık şifreyi hatırlamak zorunda kalmadan güvenli biçimde saklamanızı sağlar.
👉🏻 Aynı şifreyi birden fazla yerde kullanmayın. Bir hesabın ele geçirilmesi, zincirleme etkiyle diğer tüm hesaplarınızı riske atabilir. Dijital dünyada “tüm kapıları açan tek anahtar” mantığı en pahalı hatalardan biridir.
👉🏻 Çok faktörlü kimlik doğrulamayı (MFA) her zaman etkin tutun. Parolanız çalınsa bile, ikinci bir doğrulama adımı yetkisiz erişimi neredeyse imkânsız hâle getirir. Evet, giriş yapmak birkaç saniye daha uzun sürebilir ama o birkaç saniye, herhangi bir veri ihlalini tamamen engelleyebilir.
👉🏻 Biyometrik doğrulamayı (parmak izi, yüz tanıma) tercih edin. Parmak izinizi kimse tahmin edemez, yüzünüzü kopyalamak da sanıldığı kadar kolay değildir.
👉🏻 Şüpheli giriş uyarılarını asla görmezden gelmeyin. “Bu siz miydiniz?” uyarısı geldiğinde cevabı düşünmek için vakit kaybetmeyin. Cevap “Hayır”sa, siber suçlular sizden daha hızlı davranıp hesabınızı ele geçirmiş olabilir.
👉🏻 Düzenli şifre değişimi yapın ama aynı kalıpları tekrarlamayın. “Parola2025!” yerine “Parola2026!” yazmak parola değişimi değil, tarih güncellemesidir. Güvenlik, sadece yenilemekle değil, alışkanlığı bozmakla başlar.
Yapay zekâ artık parolaları dakikalar içinde çözebiliyor; sistemler her geçen gün daha akıllı, daha hızlı, daha öngörülü hale geliyor. Fakat bu yarışta geride kalan hep insan davranışları oluyor. Araştırmacılar artık “daha güçlü parolalar” üretmekten çok, parolasız bir geleceğin peşinde koşuyor. Kim bilir, belki bir gün parolalar tarihe karışır ve parmak izimiz, sesimiz ya da sadece bir bakışımız kimliğimizin anahtarı hâline gelir. Ama o gün gelene kadar çoğumuz hâlâ “123456” yazmaya devam edeceğiz, çünkü alışkanlıkları kırmak en gelişmiş güvenlik duvarlarını aşmaktan bile zor.⭐️
Referanslar:
1. Password Statistics Report 2025, Panda Security
2. AI-Based Password Cracking, PassGAN Research, 2023
3. Stronger Passwords in the Age of AI, WatchGuard Technologies, 2025
4. Workplace Password Malpratice Report, Keeper Security Inc, 2021
5. New Data Shows Traditional Approaches to Credential Security Fail the Modern Workforce, Dashlane, 2025
6. “How effective is multifactor authentication at deterring cyberattacks?”, Microsoft, 2023
Comment here
Yorum yapabilmek için oturum açmalısınız.