Şifre Gücü & Leak Kontrol

Şifrenizin gücünü ölçer ve HaveIBeenPwned veritabanında sızıntı kontrolü yapar. Tüm işlem tarayıcınızda gerçekleşir.

🔒

Şifreniz tarayıcıdan ASLA çıkmaz

  • zxcvbn güçlülük analizi tamamen tarayıcınızda çalışır.
  • SHA-1 hash'i tarayıcınızda hesaplanır.
  • HaveIBeenPwned'e sadece hash'in ilk 5 karakteri gönderilir (k-anonymity).
  • Sunucumuza yalnızca sonuç skorları gider — şifre, hash veya prefix hiçbir şekilde iletilmez veya loglanmaz.

🔒 Şifreniz tarayıcınızdan çıkmaz. Sadece skor sonuçları sunucumuza gönderilir.

Rehber

Şifre gücü kontrolü nasıl yorumlanmalı?

Şifre gücü kontrolü; parolanın uzunluk, karakter çeşitliliği, tahmin edilebilirlik ve bilinen sızıntılarda görülme riskini değerlendirir. Amaç tek bir şifreyi puanlamak değil, hesap güvenliği için daha doğru bir alışkanlık oluşturmaktır.

Arama niyeti

Şifre gücü testi, parola güvenliği, şifre sızıntı kontrolü ve güçlü şifre oluşturma aramalarında kullanıcının risk seviyesini hızlıca anlamasını sağlar.

Sonuçtan sonra önerilen akış

  • Tekrar kullanılan şifreleri değiştirin.
  • Yönetici hesaplarında parola yöneticisi ve MFA kullanın.
  • Ekip hesapları için düzenli erişim gözden geçirme süreci kurun.

Şifre Gücü Neden Önemli?

Şifre, hesaplarınızın en temel savunma hattıdır. Bir saldırgan hesabınıza erişmek için kullanabileceği en yaygın yöntem, şifre tahminleme ve daha önce sızdırılmış şifre listelerini deneme (credential stuffing) saldırılarıdır. Zayıf veya yaygın bir şifre, saldırganın saniyeler içinde hesabınıza girmesine neden olabilir.

Modern şifre kırıcılar saniyede milyarlarca tahmin yapabilir. "Password123!" gibi görece karmaşık görünen bir şifre bile milyonlarca kez sızdırıldığı için sözlüklerde ilk denenen şifreler arasında yer alır. Bu araç, şifrenizin hem matematiksel gücünü (entropy) hem de bilinen sızıntılarda yer alıp almadığını kontrol eder.

Sızıntı Kontrolü Nasıl Çalışır? (k-anonymity)

HaveIBeenPwned, Troy Hunt tarafından yönetilen ve 800 milyondan fazla sızdırılmış şifreyi içeren ücretsiz bir hizmettir. Bu aracı kullanarak şifrenizin bu veritabanında olup olmadığını öğrenmek için k-anonymity isimli kriptografik bir yöntem uyguluyoruz.

Adımlar:

  1. Şifreniz tarayıcınızda SHA-1 ile hash'lenir.
  2. Hash'in yalnızca ilk 5 karakteri(prefix) HIBP API'sine gönderilir. HIBP bu prefix ile eşleşen tüm hash'lerin listesini döner (yaklaşık 500-1000 tane).
  3. Tarayıcınız bu listede şifrenizin tam hash'ini kendi içinde arar. HIBP, aradığınız şifreyi asla bilmez.
  4. Sonuç (sızıntı sayısı) tarayıcınızda hesaplanır, şifreniz veya hash'iniz sunucumuza hiç gönderilmez.

Ayrıca HIBP API'sine gönderdiğimiz isteğe Add-Padding: true header'ı ekliyoruz; bu, istek boyutunu sabitleyerek ağ trafiğinden bile prefix çıkarımının yapılamamasını sağlar.

Güvenli Şifre Önerileri

İyi bir şifre uzun, benzersiz ve öngörülemezdir. NIST'in 2017 kılavuzundan beri öneri net: karmaşıklık kuralları yerine uzunlukönceliklidir. 16+ karakterlik rastgele bir geçiş ifadesi (passphrase), 8 karakterlik "karmaşık" bir şifreden çok daha güvenlidir.

  • Şifre yöneticisi kullanın. 1Password, Bitwarden, KeePassXC gibi araçlar her site için benzersiz, rastgele şifreler üretir ve sizin için saklar.
  • Her hesap için farklı şifre. Bir sitedeki sızıntı, diğer hesaplarınızı etkilemesin.
  • 4+ kelimelik passphrase. Rastgele seçilmiş kelimeleri birleştirin (örn. "mavi yaprak taş deniz").
  • İki faktörlü doğrulama (2FA) açın. Şifre çalınsa bile hesap koruma altında kalır.
  • Sızdırılmış şifreleri değiştirin. Bu araç bir sızıntı bulursa, o şifreyi kullandığınız her yerde hemen yenileyin.

Sık Sorulan Sorular

Şifrem gerçekten güvende mi?

Evet. Şifreniz tarayıcınızdan hiç çıkmaz. Tüm işlem JavaScript ile cihazınızda yapılır: zxcvbn güçlülük analizi, SHA-1 hash hesaplama ve HIBP prefix sorgusu. Sunucumuza yalnızca nihai sonuçlar (skor, sızıntı sayısı, uzunluk) gönderilir — şifre veya hash asla iletilmez. Network sekmesinden POST isteğini kontrol edebilirsiniz.

HaveIBeenPwned nedir?

HaveIBeenPwned, güvenlik araştırmacısı Troy Hunt tarafından yönetilen, milyonlarca kullanıcı adı ve şifrenin sızdırılmış verilerden toplandığı ücretsiz bir hizmettir. 800 milyondan fazla şifreyi içeren bir veritabanı sunar ve şifrelerin güvenli bir şekilde kontrol edilebilmesi için k-anonymity tabanlı bir API sağlar.

k-anonymity nasıl çalışır?

Şifrenizin SHA-1 hash'i tarayıcınızda hesaplanır. Sadece ilk 5 karakteri (hash'in %10'undan azı) HIBP'ye gönderilir. HIBP bu prefix ile eşleşen tüm hash'leri döner; tarayıcınız listede tam hash'inizi kendi içinde arar. HIBP şifrenizin ne olduğunu öğrenemez çünkü prefix binlerce farklı şifreyle eşleşir.

zxcvbn nedir?

zxcvbn, Dropbox tarafından geliştirilen açık kaynaklı bir şifre güçlülük analizi kütüphanesidir. Sadece karakter çeşitliliğine bakmaz; yaygın şifreleri, kelimeleri, klavye düzenlerini, tarih ve isimleri de tespit eder. 0-4 arası bir skor ve tahmini kırılma süresi döner. Bu araç bu kütüphaneyi tarayıcınızda çalıştırır.