Sorunun cevabı evet — ama bu cevap "güvenlik uzmanları önerir" türünden bir genel tavsiye değil. Temeli şu: şifreniz bir sitede açığa çıktığında, credential stuffing adı verilen saldırı yöntemi o şifreyi diğer tüm hesaplarınızda otomatik olarak deniyor. Güçlü ama tekrar eden bir şifre, zayıf ama benzersiz bir şifreden daha fazla risk taşıyabilir.
Her yıl binlerce site veri ihlaliyle karşılaşıyor. Çalınan kimlik bilgileri dark web forumlarında satışa çıkıyor — bazen ihlalden saatler sonra. Bu listelerde e-posta adresiniz ve şifreniz varsa, saldırganlar sizi aramak zorunda kalmıyor; zaten bulmuşlar.
Credential stuffing saldırısı nasıl çalışır
Veri ihlalinden sonra ele geçirilen kimlik bilgileri iki şekilde değerlendiriliyor: doğrudan satış veya stuffing kampanyası. Stuffing'de mekanizma basit — elimde bir e-posta ve şifre listesi var, bunları popüler servislerde denerim. Gmail, Amazon, LinkedIn, banka giriş sayfaları. Bunu elle yapmak değil elbette; onlarca platformda paralel deneme yapan araçlar var. Tor exit node'larından ve proxy zincirlerinden dağıtılmış şekilde çalışıyorlar; her IP saniyede yalnızca birkaç deneme yapıyor, tespit sistemleri için normal trafik gibi görünüyor.
Rate limiting bu saldırının önünde düşündüğünüz kadar yüksek bir engel değil. Binlerce kaynak IP'den dağıtıldığında, her bir IP'nin istek sayısı sınırların çok altında kalıyor. Büyük servisler sinyal tabanlı anomali tespiti geliştirdi — giriş akışı analizi, cihaz parmak izi, konum tutarsızlığı gibi. Ama bu düzeyde koruma her platformda yok, özellikle küçük ve orta ölçekli sitelerde (bu kategori çok daha geniş).
Saldırının başarısı doğrudan parola yeniden kullanım oranına bağlı. Çalınan listenin yalnızca birkaç yüzdesi başka hesaplarda çalışsa bile, milyonluk bir listeden on binlerce hesaba erişim mümkün oluyor. Şifresini tekrar etmeyen hesaplara bu yolla girilemiyor — başka bir saldırı vektörü bulmak gerekiyor, bu da çok daha maliyetli.
Tek şifre kırıldığında ne oluyor
Hangi hesabın önce kırıldığı değil, e-postaya ulaşılıp ulaşılmadığı belirleyici. E-posta hesabının kontrolü kaybedilince "şifremi unuttum" akışı tamamen anlamsız bir güvenceye dönüşüyor — saldırganlar banka hesabından kurumsal erişime, sosyal medyadan bulut depolamaya kadar her şifre sıfırlama e-postasını alıyor.
Somut bir senaryo: yıllardır kullanmadığınız eski bir alışveriş sitesinde hesabınız var. Site küçük, güvenlik önlemleri zayıf — belki şifreler hashlenmemiş bile. Site ihlal edildiğinde şifreniz düz metin olarak dışarı çıkıyor. Eğer aynı şifreyi Gmail'de kullanıyorsanız, o alışveriş sitesinin ihlali doğrudan Gmail'i açıyor. O sitede ne kadar para bıraktığınız değil, orada hangi şifreyi kullandığınız önemli.
Banka şifrenizi tekrar etmemeniz tek başına yeterli değil. Kullanıcılar bankacılık hesabına özel şifre koyarken e-postayı genel bir şifreyle açık bırakıyor — oysa e-posta, diğer tüm hesapların fiilî ana anahtarıdır; banka şifresine gerek kalmadan, şifre sıfırlama akışı üzerinden erişim sağlanıyor.
E-posta açıksa, geri kalan önlemler boşta döner.
Risk hiyerarşisi: hangi hesap önce korunmalı
Her hesap aynı riski taşımıyor. "Her şeyi birden koruyayım" yaklaşımı doğru ama başlangıç için önceliklendirme gerekiyor:
- E-posta hesapları — en kritik. Şifre sıfırlama akışlarının merkezi olduğu için diğer tüm hesapların dolaylı anahtarı. Birden fazla e-posta hesabınız varsa hepsini bu kategoriye koyun.
- Bankacılık ve finansal hesaplar — doğrudan maddi risk. Buradan yapılan bir transferi geri almak bazen mümkün ama asla kolay değil.
- Kurumsal erişimler (VPN, iş e-postası, SSO sistemleri) — kişisel değil organizasyonel risk. Tek bir çalışanın tekrar eden şifresi şirket ağını açabilir.
- Sosyal medya hesapları — kimlik hırsızlığı ve sosyal mühendislik saldırılarında kullanılıyor. Hesabınızın adınıza dolandırıcılık yapmak için kullanılması hafife alınan ama ciddi bir risk.
- Düşük değerli hesaplar (forum, ücretsiz araç, haber sitesi) — bu hesapların kendi değeri düşük olsa da burada kullandığınız şifre yukarıdaki kategorilerin herhangi biriyle örtüşüyorsa risk çarpanı anında yükseliyor.
Pratikte en az şu ayrım şart: üstteki 3 kategori birbiriyle ve alttaki 2 kategoriyle örtüşmesin. Forum hesabının şifresi bankacılık şifrenizle çakışmıyorsa — ki bu minimum koşul — forum ihlali diğerlerini taşımıyor.
Farklı şifre üretme stratejileri ve trade-off'ları
"Her hesap için farklı şifre" kuralı teoride basit, pratikte sürdürülebilirlik sorusu getiriyor. Üç yaygın strateji var — her birinin avantajı ve bakım maliyeti farklı.
Tamamen rastgele üretim, kriptografik güvenlik açısından en sağlam seçenek. 16+ karakterlik bir dizi, sözlük saldırısına veya örüntü analizine karşı dayanıklı. kriptografik olarak güvenli rastgele şifre üretmek için tarayıcının Math.random() değil, CSPRNG (Cryptographically Secure Pseudo-Random Number Generator) kullanan araçları tercih edin. Dezavantajı açık: hiçbirini ezberleyemezsiniz. Bir yönetim sistemi olmadan bu yaklaşım sürdürülemez.
Türetme yöntemi, bir temel şifreden siteye özgü türetme yapıyor — "AnaŞifre+google2024" gibi bir format. Hatırlanabilir ve her site için farklı görünüyor. Ancak burada kritik bir kırılma noktası var: türetme mantığınız çözülürsе — birden fazla hesapta ihlal olduğunda desene bakılarak çözülebiliyor — tüm hesaplarınız açılıyor. Teknik saldırı değil, pattern analizi yeterli. Bu yüzden kısmen güvenilir bir strateji sayılıyor; ama ciddi bir saldırıya karşı dayanıklı değil.
Passphrase yöntemi, birden fazla rastgele kelimeden oluşan bir ifade. "Çilek-bulut-kapı-tren" gibi. entropi hesabı açısından bakıldığında 4-5 kelimelik rastgele bir passphrase, 8-10 karakterlik karmaşık bir şifreyle karşılaştırılabilir ya da daha iyi sonuç verebiliyor — ve ezberlemek çok daha kolay. Her hesap için farklı passphrase üretmek zor değil, yönetmek gene de bir sistem istiyor.
Üç stratejinin ortak noktası: farklı şifre kullanmak, bir şekilde bunları takip etmek demek. Sistemsiz yönetim belirli bir noktadan sonra kırılıyor.
Strateji ne olursa olsun, yönetim şart.
Hafızanın sınırı ve şifre yöneticisine geçiş noktası
Ortalama bir kullanıcının aktif hesap sayısı genellikle 80-100 civarında tahmin ediliyor. Bu sayının tamamı için farklı şifre hatırlamak gerçekçi değil. Peki pratik hayatta ne oluyor?
Tipik davranış şu: birkaç "önemli" hesap için güçlü ve benzersiz şifre, geri kalanı için dönen 2-3 varyasyon. Bu strateji kritik hesapları görece korusa da düşük öncelikli hesaplarda şifre tekrarı devam ediyor — ve o hesaplardan biri beklenmedik bir anda kritik hale gelebiliyor. Yıllardır girip çıkmadığınız bir hesap hatırasız şifreyle açık kalıyor; credential stuffing listesinde de o şifreden ibaret.
Belirli bir hesap sayısının üstünde — genellikle 10-15 benzersiz şifre — hafıza stratejisi yetersiz kalıyor. şifre yöneticisi bu noktada devreye giriyor: şifreli bir kasada tüm kimlik bilgilerini tutarak her hesap için tamamen rastgele şifre kullanmayı pratik hale getiriyor. Hatırlamanız gereken tek şifre kasa ana şifresi.
Şifre yöneticisi kullanmanın kendi riskleri var — ana şifre kaybedilirse veya servis ihlal edilirse. Bu trade-off gerçek; ama on farklı serviste aynı şifreyi tekrar etmekle karşılaştırıldığında avantajlı bir noktada duruyor. Tek bir kasa ihlali ile on farklı sitedeki eşzamanlı risk, ölçek bakımından çok farklı.
En kritik 5 hesap — e-posta ve banka — birbirleriyle örtüşmediğinde, zincirde kopma başlamıyor. Bu ikisini güvence altına almak, domino etkisinin önündeki ilk gerçek bariyerdir; geri kalanını kasaya taşıdığınızda hafızanıza değil korumanın mimarisine dayanmış olursunuz.