guvenlik/src/human_security/passwords.md

Parolalar

Parola yöneticisi kullanın

Parola yöneticisi kullanmak, kişisel güvenliğinizi arttırmak için yapabileceğiniz en önemli şeyler arasından en önemlisidir.

Bir parola yöneticisi, size hem güçlü hem de eşsiz parolalar kullanma imkanı sağlar. Parola yöneticisi ile diğer tüm parolalarınıza erişmenizi sağlayacak bir adet parola hatırlarsınız.

Bir parola yöneticisinin dikkat edilmesi gereken üç önemli özelliği vardır:

• Yerel Yazılım: Amaca uygun bir yazılım olarak parola yöneticisinin sakladığı parolaları yerel olarak bilgisayarınızda bulundurması, bir ana parola ile şifrelemesidir. Bu en güvenli seçenek olmakla birlikte birden fazla cihaz arasında eşitlemeyi güçleştirecektir.
• Bulut Hizmetleri: Genellikle ücretli olmakla parolalarınızı cihazlarınızdan bağımsız olarak saklayan bir hizmeti ifade eder. Bulut hizmetleri aracılığı ile parolalarınıza heryerden ulaşmanın rahatlığını daha az güvenlik elde etmekle ödersiniz.
• Tarayıcı Eklentileri: Hem yerel yazılım hemde bulut hizmeti olarak sunulan parola yöneticilerinin çoğunlukla, parolalarınıza kolaylıkla erişebilmeniz için bir tarayıcı eklentisine sahiptirler. Bu eklentiler rahatlık sağlar fakat biraz daha az güvenlidirler.

Hangi aracı seçtiğinizden bağımsız olarak gerçekten önemli olan bir parola yöneticisi kullanmanızdır. Lütfen aşağıdaki önerileri aklınızda tutun:

• Ana Parola: Bir parola yöneticisi kullanırken, ana parolanızı kaybetmemeniz hayati öneme sahiptir. Şayet unutacağınıza en kücük ihtimal bile veriyorsanız parolanızı güvendiğiniz bir yerde yazılı olarak saklamalısınız.
• Yedekler: Parola yöneticinizin verilerini düzenli olarak yedeklemeniz de bir o kadar önemlidir. Bulut hizmetinin kesilmesi sonunuzun gelmesi demektir bu yüzden düzenli yerel yedek almak iyi bir fikirdir. Yerel yazılımlar için yedek almak yeterlidir.

Yaygın parola yöneticileri;

• Keepass ve KeepassX (yazılım-türü) ciddi şekilde önerilen iki yerel parola yöneticisinin versiyonlarıdır. Bu iki araç aynı şifreli dosya tipini kullanmakta ve neredeyse her bilgisayarda çalışabilmektedir.
  • Security Self-defense / How to: Use KeepPassXC
  • Security In-a-box / KeePass overview
• LassPass (Bulut)
• 1Password(bulut & yerel yazılım)

Güçlü Parolalar Kullanın

Rastgele üretilmiş güçlü parolalar kullanın. Bunun istisnası cihazınızı ve parola yöneticinizi açacak parolalardır. Diğer tüm parolalarınız parola yöneticisi tarafından rastgele üretilmiş ve en az 12 karakterden oluşmalıdır ama 26'dan fazlası gerekli değildir.

İnsanlar, bilgisayarların aksine güvenli parolalar yaratmakça çok başarısızlardır. Bırakın bilgisayar bu işi sizin için yapsın.

Hatırlamanız gereken güçlü parolalar üretmek için çokça yol bulunmaktadır. Eğer parola yöneticisi kullanıyorsanız, bırakın o sizin için bir tane üretsin. Bunun için Gözetim Meşru Müdafaa'nın Güçlü Parolalar Üretmek rehberine bakabilirsiniz.

Diceware (zarola?) günlük nesneler ve bir kelime listesi ile hatırlanabilir ve güçlü parolalar üretmek için eğlenceli bir yöntemdir. Diğer iyi bir yöntem ise kimsenin daha önce söylemediği aptalca bir cümle uydurup her kelimenin ilk veya ilk iki harfini parola olarak başka karakterlerle karıştırarak kullanmaktır.

Her hesabın güvenli parolalar ile korunması önemlidir, öyle ki bir hesaba erişim çoğunlukla diğer sistemlere giriş için de kullanılabilir. Bu özellikle hesaplarınızı sıfırlama imkanı olan her e-posta hesabı için geçerlidir (genellikle "parolamı unuttum" bağlantıları ile).

Eşsiz parolalar kullanın

Bu tavsiyeleri takip etmek, üçüncü taraf yazılımları kullanmayarak aldığınız riski azaltmak için gayet iyidir. Eğer parolarınızı tekrar kullanmaz iseniz bir kişinin kullanıcı adı ve parolanızı bir sızıntı veya ihlal aracılığı ile öğrenerek diğer hesaplarınıza girmesine imkan vermez. Kullandığınız her hizmet için farklı bir parola kullanarak, önemli bilgilerinizin korunması için kullandığınız hizmetin becerilerine güvenmek zorunda kalmazsınız. Eğer bir parola yöneticisi kullanırsanız bu sizin için çok kolay olacaktır.

Parolalarınızı gizli tutun

Biri kendisini IT veya teknik destek olarak tanısa bile asla kimseye parolarınızı vermeyin. Neredeyse her sistem yönetim amacı ile parola sıfırlanmasına olanak tanımakta. Gerçek bir IT personeli size parolanızı sormak yerine bu imkanı kullanır. Bu tip sistemler aynı zamanda takip edilebilir bir erişim izi bırakmakta ve sizi sıfırlama hakkında bilgilendirmektedir. Sizin de her yönetici erişiminden sonra parolanızı değiştirmeniz gerekmektedir ki sadece sizin sayısal bilgilerinize erişiminiz olduğuna emin olun. Bu aynı zamanda kurumda kimin hesabınızda değişiklik yaptığını da öğrenmenizi sağlar.

Kurum ve kişisel parolalarınızı ayırın

Kurum parolaları, kurumunuzun sistemlerine ve sayısal kimliklerine yönetici yetkisi tanıyan herhangi bir paroladır. Bunlar gerçekten önemli bilgiler olduğundan kişilerin kendi kişisel hesaplarına girmek için kullandıklarından farklı olmalıdır. Bunu parola yöneticisinde ayrı bir giriş veya farklı bir parola dosyası kullanarak veya tamamen farklı bir parola yöneticisi seçerek sağlayabilirsiniz.

Ek okuma listesi

• Security Planner / Password Managers
• Security In-a-box / Passwords
• Security Self-defense / Animated Overview: Using Password Managers to Stay Safe Online
• Security Self-defense / How to: Use KeepPassXC
• Security Self-defense / Creating Strong Passwords
• Security Education Companion / Passwords
• Security Education Companion / Password Managers