Matematiksel olarak kırılamaz parolalar oluşturma konusunda hepimizin dikkatli olması gerekir. Ve eğer siz de parolalarında adları ve doğum tarihlerini kullanan(yeni pencere) yüz binlerce kişiden biriyseniz, oturum açma güvenliğinizi sıkılaştırmanın zamanı kesinlikle gelmiştir.

Bu makalede, çevrim içi güvenliğiniz için harika bir yöntem olan parola entropisini nasıl tahmin edebileceğinizi ve geliştirebileceğinizi açıklıyoruz. Ancak burada bir denge söz konusu: Parolanın entropisini büyütmek, temel olarak onu hatırlamanızı imkansız hale getirmek anlamına gelir. Her zaman olduğu gibi, bu sorunu özetleyen bir XKCD karikatürü(yeni pencere) mevcuttur.

Hepimizin üye olduğu çevrim içi hizmetlerin sayısı (en az düzinelerce) göz önüne alındığında, ortalama bir insanın her biri için güçlü bir parola ezberlemesi neredeyse imkansızdır.

Bu nedenle önerimiz, aşırı yüksek entropiye sahip parolalar oluşturabilen Proton Pass gibi bir parola yöneticisi kullanmanızdır. Parolalarınızı sizin için hatırlar ve otomatik doldurma ile girer.

Aşağıda parola entropisinin ne anlama geldiğini, nasıl hesaplayabileceğinizi ve bunun parolanızın gücünü nasıl etkilediğini açıklıyoruz. Bu bilgiler, parola yöneticinizde en güvenli ayarları seçmenize (veya çok düşük entropili parola gerektiren hizmetlerde oturum açmaktan kaçınmanıza) yardımcı olabilir.

“Parola entropisi” ne anlama gelir?

Parola entropisi, parolanızın veya ifadenizin ne kadar tahmin edilemez olduğunu ifade eder ve bit cinsinden ölçülür. Genellikle, entropi bit değeri ne kadar yüksekse, parola o kadar karmaşık olur ve kaba kuvvet saldırılarıyla kırılması o kadar zorlaşır.

Kaba kuvvet saldırganları, oturum açma kimlik doğrulama bilgilerindeki, parolalardaki ve şifreleme verilerindeki karakter kombinasyonlarını tahmin etmek için deneme yanılma yöntemini kullanır.

Örneğin, birçok bilgisayar korsanı birkaç dakika içinde binlerce parola tahminini otomatikleştirmek için karmaşık betikler ve makineler kullanır. En çarpıcı vakalardan birinde, araştırmacılar saniyede 350 milyar parola tahmini(yeni pencere) işledi.

Saldırganlar, zayıf parolaları hızla açığa çıkarmak için kaba kuvvet saldırıları kullanır. Parolalarınızın entropisini ölçerek ve öncelik vererek, bu verilerin yanlış ellere geçmesini önlemeye yardımcı olabilirsiniz.

Parola entropisi, parola gücünü nasıl etkiler?

Bir parolanın entropisini ve dolayısıyla gücünü etkileyen çeşitli faktörler vardır. Parolanızın şunlarını göz önünde bulundurmanız gerekir:

  • Uzunluk (karakter cinsinden)
  • Büyük ve küçük harf kullanımı
  • Rakam kullanımı
  • Özel sembollerin kullanımı

Burada listelenen tüm unsurlar arasında parola uzunluğu en önemlisidir. Yeterince uzun bir parola, hemen hemen her kaba kuvvet saldırısını boşa çıkarır. Ayrıca rastgele büyük harfler, özel semboller ve rakamlar kullanarak entropiyi daha da artırabilirsiniz.

Ancak entropi, yalnızca parolanızın nasıl göründüğüyle ilgili değildir. Aynı zamanda nasıl oluşturulduğuna da bağlı olabilir. Tamamen rastgele bir dizi, aynı uzunlukta olsalar bile yaygın bir kelime veya ifadeden çok daha yüksek entropiye sahiptir.

Parolanızda bilinen bir kelime veya yaygın bir ifade kullanırsanız, bilgisayar korsanları kimlik doğrulama bilgilerinizi tahmin etmek için sözlük saldırılarını kullanabilir.

Sözlük saldırganı, bir parola içinde kullanılabilecek sözlükteki her kelimenin kaba kuvvet tahminlerini otomatikleştirir.

Bu nedenle, parolanızın entropisi ne olursa olsun, oturum açma ayrıntılarınızda evcil hayvan adları, spor takımları veya diğer yaygın parolaları (örneğin, asla “password” kullanmayın) tercih ederseniz, hala saldırıya uğrama riski altındasınız demektir.

Parola entropisi nasıl hesaplanır

Parola entropisinin nasıl hesaplanacağını açıklıyoruz, ancak bunun sadece bir gösterim olduğunu belirtmek önemlidir. Bir parolanın entropisini sadece görünüşüne bakarak güvenli bir şekilde tahmin edemezsiniz. İnsan tarafından oluşturulan parolalar (uzun olanlar bile) genellikle oldukça tahmin edilebilirdir. Rastgele bir oluşturucu ile üretilmediği sürece, entropinin düşündüğünüzden daha düşük olduğunu varsaymalısınız.

Rastgele bir karakter dizisi kullandığınızı varsayarsak, parola entropisi bit cinsinden ölçülür ve iki ana faktöre bağlıdır:

  1. Parola için seçilen karakter aralığında bulunan karakter sayısı
  2. Paroladaki karakter sayısı

Bu nedenle, parolanız ne kadar uzun ve olası karakter aralığınız ne kadar genişse, parola entropisi de o kadar artar. kmXz2=zs[m%7?y4A gibi büyük harfler, küçük harfler, semboller ve sayılar içeren uzun bir parola çok yüksek entropiye sahip olacaktır.

dzormybs veya 119022833 gibi sadece küçük harfler veya sayılar kullanan bir parola çok düşük entropiye sahip olacaktır.

Parolaların (passphrase) hatırlanması daha kolaydır, ancak dikkatli olmalısınız. Benzer entropi düzeyleri oluşturmak için daha uzun olmaları gerekir. Örneğin, HelpFidoSaveChocolate33! gibi bir parola karmaşık görünür, ancak dört yaygın İngilizce kelime ve sonunda tahmin edilebilir bir sayı-sembol kombinasyonu kullandığı için gerçek entropisi 50 bite daha yakın olabilir. Bu, sekiz karakter daha kısa olmasına rağmen kmXz2=zs[m%7?y4A parolasının entropisinden çok daha düşüktür.

Entropi bitleri nelerdir?

Entropi bitleri, bir parolanın kırılmasının ne kadar zor olduğunu ölçer. Örneğin, zaten bildiğiniz bir parolanın sıfır biti vardır.

Bir formül kullanarak, bir parolada kaç entropi biti olduğunu ve bununla birlikte bir saldırganın betiğinin veya makinesinin erişim sağlamak için kaç tahminde bulunması gerektiğini hesaplayabiliriz.

Ancak, parola entropisini hesaplamadan önce, tüm farklı olası karakter aralıklarını ölçmemiz gerekir.

Karakter aralıklarını ölçme

Aşağıdaki tablo, İngilizce yazıyorsanız parolanıza farklı karakterler eklediğinizde karakter seçeneklerinizin nasıl arttığını göstermektedir. Harf ve sembol sayısı, kullandığınız dile bağlı olarak değişebilir.

Karakter TürüÖrnek(ler)Aralık Boyutu
Rakamlar0, 1, 2, 310
Latin harfleri (küçük)a, b, c, d26
Latin harfleri (büyük)A, B, C, D26
Özel semboller!, @, %, $32

Potansiyel bilgisayar korsanlarına ne kadar fazla karakter seçeneği sunarsanız, parola entropiniz o kadar yükselir. Bu nedenle, mümkün olduğunca geniş bir karakter aralığına öncelik verin ve dört türün tümünün bir karışımını kullanın.

İşte birkaç örnek parola ve toplam karakter aralıkları:

ÖrnekToplam Karakter Aralığı
11223310
abcde26
a1b2c3d436
a1B2c3D462
a1!B2%c3^D494

Unutmayın, yukarıdaki veriler karakter aralıklarının potansiyel boyutunu görüntüler, entropi bitlerini değil. Parolaların kesin entropisini bit cinsinden hesaplamak için belirli bir formül kullanmamız gerekir.

Parola entropisi formülü

Bir parolanın entropisini bit cinsinden aşağıdaki formülü kullanarak ölçebilirsiniz:

E = L × log2(R)

Bu formülde:

  • E, parola entropinizdir
  • R, parolanızdaki olası karakter türü aralığıdır (yukarıdaki tabloları görüntüleyin)
  • L, parolanızdaki karakter sayısıdır (uzunluğu)
  • Log2 “bu sayıya ulaşmak için 2’nin kaçıncı kuvvetinin alınması gerektiği” sorusunu yanıtlar

Bu formülü kullanarak, birkaç örnek parolanın bit cinsinden ölçümü şu şekildedir:

ÖrnekKarakter AralığıParola UzunluğuHesaplamaEntropi Bitleri
fygwcbjnhsbh2612 karakter.E = 12 x 4,756,4
HzgNhHkY1WQ8AM6214 karakter.E = 14 x 5,9583,3
kmXz2=zs[m%7?y4A9416 karakter.E = 16 x 6,55104,8

Matematik, bir parola ne kadar uzun ve karmaşıksa o kadar fazla entropi bitine sahip olduğunu bize görüntüler.

Unutmayın, bu hesaplamalar yalnızca rastgele oluşturulmuş parolalar için geçerlidir. Yaygın kelimeleri kullanan parola cümlelerinin daha uzun olması ve benzer bir güvenlik seviyesi oluşturmak için yaygın olmayan, alakasız kelimeler (ve tercihen sayılar ve semboller) içermesi gerekir.

Ve unutmayın, bu hesaplamalar pratik kullanımdan ziyade daha çok gösterim amaçlıdır. Parolanızın ne kadar güçlü olduğunu kendiniz hesaplamaya çalışmak yerine parola oluşturuculara güvenmelisiniz.

Deneme yapmak ve farklı parolaların ne kadar güçlü olduğunu görmek için ücretsiz parola oluşturucumuzu kullanabilirsiniz.

Tekrar belirtmek gerekirse, entropi yalnızca bir güç ölçüsüdür. Sözlük saldırılarından kaçınmak için yaygın kullanılan parolalardan veya ifadelerden kaçının. Ayrıca, saldırganlar bu bilgileri elde edebileceği için parolanızda doğum tarihiniz, evcil hayvanınızın adı veya sokak adınız gibi kişisel bilgileri kullanmaktan kaçınmalısınız.

Bir parola ne zaman güçlü kabul edilir?

Genel olarak, güçlü veya yüksek entropili bir parola en az 75 bit puan alır. 72 bitten düşük olan her şey, bir makinenin kırması için oldukça kolaydır.

Olası tahminlerin maksimum sayısını 2 ^ (bit sayısı) hesaplamasını kullanarak hesaplıyoruz. Bu, toplam bit sayısına ulaşmak için 2 sayısının kaç kez ikiye katlandığıdır.

Örneğin, 10 bit entropiye sahip bir parolanın, 2 ^ 10 kullanıldığında, kırılması için en fazla 1.024 tahmin gerekir. Bu, 456 gibi üç karakterli sayısal bir paroladır.

Güçlü bir parola oluşturmak için 100 bitin üzerinde bir entropi hedefleyin ve mümkün olduğunca yüksek tutmaya çalışın. Entropi ne kadar yüksek olursa, makinelerin doğru bir parola tahminini kaba kuvvetle bulması o kadar uzun sürer.

Yüksek entropili bir parola oluşturma kuralları, görüştüğünüz güvenlik uzmanına bağlı olarak büyük ölçüde değişir, ancak hepimizin üzerinde anlaşabileceği birkaç genel kural vardır:

  1. Parolanız en az 14 karakter uzunluğunda olmalı ve bir karakter karışımı kullanmalıdır (yalnızca temel Latin alfabesindeki küçük harfler değil)
  2. Sizin için önemli olan (dolayısıyla tahmin edilmesi kolay olan) ifadeleri veya terimleri kullanmaktan kaçınmalısınız
  3. Güçlü bir parola kullanıcı adıyla bağlantı kurmamalıdır (ikisini her zaman ayrı varlıklar olarak değerlendirin)
  4. En az bir küçük harf, bir büyük harf, bir rakam ve bir özel karakter (örneğin: %, ^, *, &, @, ~ vb.) karışımı vardır

Ayrıca, web genelinde yaygın olarak seçilen kelime veya ifadelerin kullanılmasını önlemeye yardımcı olması için bir parola kara listesi kullanmanızı öneririz. Örneğin, NIST’in Bad Passwords projesi(yeni pencere), yüksek entropili ifadeler oluşturmak için kullanılan popüler ve açık kaynaklı bir araçtır.

Parola yöneticiniz için güvenli bir yönetici parolası oluşturmak istiyorsanız, aşağıdaki yönergeleri dikkate alın

Özetle, gerçekten güvenli bir parola örneğin şunları içerir:

  • En az bir büyük harf
  • En az bir küçük harf
  • En az bir özel sembol
  • En az bir rakam
  • En az 14 karakter (kelimelerin alışılmadık ve birbiriyle ilişkisiz olduğu varsayılırsa, parolalar için en az 30 karakter)

Yukarıdaki örnek olan kmXz2=zs[m%7?y4A, tüm bu gereksinimleri karşılar ve yaklaşık 105 bit entropiye sahip bir parola oluşturur; bu parolayı kaba kuvvet saldırısıyla kırmak imkansız derecede uzun sürer.

Proton Pass ile güçlü parolalar oluşturun

Tüm çevrim içi hesaplarınız için yeterince güçlü parola oluşturmanın ve bunları hatırlamanın tek yolu bir parola yöneticisi kullanmaktır. Proton Pass, tek tıkla sizin için güvenli ifadeler oluşturur. Bunu 10 kelimelik parolalar veya 64 karakterlik rastgele parolalar oluşturmak için kullanabilirsiniz; ayrıca parolalarınızın entropisini en üst düzeye çıkarmak isterseniz, her parolanın sayı, büyük harf ve özel karakter kullanıp kullanmayacağı üzerinde kontrol sahibi olursunuz.

Proton Pass ile parolalarınız sadece kırılması zor olmakla kalmaz; aynı zamanda uçtan uca şifreleme ile depolanır ve dünyanın en güvenli ücretsiz parola yöneticisi aracılığıyla güvenli iki adımlı doğrulama ile yedeklenir. Daha fazla bilgi edinmek için Proton Pass’in güvenlik modelini okuyun.

Parola entropisi kafanızı karıştırıyorsa, Proton Pass‘e kaydolun. Kötü niyetli saldırılara karşı dayanıklı parolalar oluşturmanıza, bunları depolamanıza ve güvene almanıza yardımcı olacağız.

Güncelleme 18 Kasım 2025: Bu makale, parolaların ve genel olarak parolaların entropisini hesaplamaya çalışırken karşılaşılan sorunları daha net açıklamak amacıyla güncellenmiştir. Gerçekten rastgele oluşturulmadığı sürece, parolaların karmaşıklığını abartmak kolaydır.

SSS

Parola karmaşıklığı ile parola entropisi arasındaki fark nedir?

Parola karmaşıklığı tipik olarak potansiyel karakter aralığını ifade ederken, parola entropisi tahmin edilmesinin ne kadar zor olduğuna dair matematiksel hesaplamayı ifade eder. Entropi, bir parolayı kırmak için kaç tane kaba kuvvet tahmini gerekeceğini belirten bit birimiyle ölçülür.

Dört kelimeli bir parolanın entropisi nedir?

Bu, kelimelerin nasıl seçildiğine bağlıdır. Rastgele seçildilerse (örneğin bir Diceware listesi kullanılarak), her kelime yaklaşık 12–13 bit entropi ekler. Dolayısıyla dört kelimelik rastgele bir parola yaklaşık 50–52 bit entropiye sahip olacaktır. Ancak kelimeler bir insan tarafından seçildiyse, entropi çok daha düşük olabilir.

128 bit entropi ne anlama gelir?

128 bit entropi, parolanızın kaba kuvvet saldırısıyla kırılması için 2¹²⁸ tahmin gerekeceği anlamına gelir; bu, evrendeki atom sayısından daha fazladır. Pratik amaçlar için 100 bitin üzerindeki her şey güvenlidir. 75–80 bitlik parolalar bile günümüzde bilinen tüm kaba kuvvet saldırılarına karşı dirençli kabul edilir.