Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

PatronPatron
  • Anasayfa
  • Teknoloji
  • Şifreniz ‘Güçlü’ Ama Kapı Zaten Açık: Dijital Güvenlik Tiyatrosu

Şifreniz ‘Güçlü’ Ama Kapı Zaten Açık: Dijital Güvenlik Tiyatrosu

10 Şubat 2026 • 08:00 MEMDUH BİÇER 36

Güvenlik Tiyatrosu

Geçen hafta mutfağa yeni bir akıllı tartı aldım. Hani şu vücut yağ oranını, kemik kütlesini, hatta muhtemelen ruh halinizi ölçüp moralinizi bozan aletlerden. Kurulumu yapacağım, telefon elimde, tartının üzerindeki o minicik Bluetooth ışığının yanıp sönmesini bekliyorum. Uygulama benden bir hesap oluşturmamı istedi. Tamam, standart prosedür. E-posta adresimi girdim, sıra şifreye geldi. Klasik şifremi yazdım. Kabul etmedi. Ekranın altında kırmızı bir uyarı belirdi: “Şifreniz en az 12 karakter olmalı, bir büyük harf, bir küçük harf, bir rakam ve bir özel karakter içermelidir.”

İç çektim. “Tamam” dedim, sonuna bir ünlem ekledim. Yine kırmızı. Meğer ünlem işareti, onların sisteminde “kabul edilebilir özel karakterler” listesinde yokmuş. Yıldız koymam gerekiyormuş. Ya da diyez. Ama dolar işareti olmazmış. Yahu alt tarafı sabahları kaç kilo olduğuma bakacağım, Pentagon’un nükleer fırlatma kodlarını saklamıyorum ki! Neyse, lanet olsun diyerek rastgele tuşlara bastım, ortaya çıkan o garip diziyi de bir yere not etmedim tabii. Nasılsa “Şifremi Unuttum” butonu, o şifreyi hatırlamaktan daha az efor gerektiriyor.

İşte tam o an, bu absürt tiyatronun perdesi bir kez daha yüzüme kapandı.

Size bir yazılımcı olarak acı bir gerçeği söyleyeyim: O sizi çileden çıkaran, “Şifreniz son 3 şifrenizle aynı olamaz” diyen, içinde hiyeroglif ve Sümerce tabletlerden alıntı isteyen sistemler, aslında sizin güvenliğiniz için değil.

Şaşırdınız mı? Şaşırmayın. Bu karmaşık kurallar silsilesi, tamamen şirketin sorumluluğu üzerinden atması için tasarlanmış hukuki bir kalkan.

A close-up shot of a frustrated person holding a smartphone, looking at a login screen with a red error message box saying "Password too weak". The background is a blurry modern kitchen environment. The lighting is slightly dim, emphasizing the screen's glow on the person's annoyed face.

Mantık şu: Eğer hesabınız hacklenirse, şirket dönüp size “Biz size güçlü şifre koyun dedik, siz yeterince karmaşık yapmadınız, suç sizde” diyebilsin. Olayın özü bu. Sizin verilerinizin güvenliği, o şifrenin içinde kaç tane noktalı virgül olduğuyla sandığınız kadar ilgili değil.

Biraz mutfağın arkasına, benim dünyama, yani kodların arasına götüreyim sizi. Bir veritabanı düşünün. Sizin o binbir zahmetle oluşturduğunuz “G!zliSifre2024*” şifreniz orada nasıl saklanıyor sanıyorsunuz? İyi senaryoda “hash”lenmiş, yani şifrelenmiş bir özet olarak durur. Kötü senaryoda –ki inanın hala bunu yapan devasa firmalar var– düz metin (plain text) olarak saklanıyor. Yani veritabanı yöneticisi canı sıkıldığında girip şifrenizi okuyabilir.

Esas sorun şu: Hackerlar genellikle sizin şifrenizi tahmin etmeye çalışmazlar. Yani kimse oturup da “Acaba Memduh şifresini kedisinin adı mı yaptı?” diye tek tek deneme yanılma yapmıyor. O filmlerdeki gibi siyah kapüşonlu adamın yeşil kodlar akan ekrana bakıp “Erişim sağlandı” demesi falan… Geçiniz bunları.

Gerçek dünyada ne oluyor biliyor musunuz? O şirket, sunucusunun güncellemesini yapmayı unutuyor. Ya da bir yazılımcı, test ortamında açık bıraktığı bir arka kapıyı kapatmayı ihmal ediyor. Hacker içeri giriyor, tüm kullanıcı tablosunu kopyalayıp çıkıyor. Milyonlarca satır veri. Sizin şifreniz 45 karakterli, içinde Japonca Kanji alfabesi geçen bir sanat eseri de olsa, adamlar veritabanını komple çaldığında bunun hiçbir önemi kalmıyor.

Kapı menteşesinden sökülmüşken, siz hala kapı kolunu üç kere kilitlemekle övünüyorsunuz.

Hatta daha komiğini söyleyeyim. Çoğu “büyük” hack olayı, teknik bir deha gerektirmiyor bile. “Sosyal Mühendislik” denilen bir sanat var. Birisi şirketin IT departmanını arıyor, kendini genel müdür yardımcısı gibi tanıtıyor, “Şifremi unuttum, acil şu sisteme girmem lazım, toplantı başlayacak!” diye bağırıp çağırıyor. Telefondaki gariban teknik destek elemanı da panikle şifreyi sıfırlayıp veriyor. Bitti. Sizin o büyük harf, küçük harf kombinasyonlarınızın hepsi çöp oldu.

Bu yüzden “Güvenlik Tiyatrosu” diyorum buna. Havaalanlarında ayakkabımızı çıkarmamız gibi. Kendimizi güvende hissetmemiz için oynanan bir oyun, ama gerçek tehditler bambaşka yerlerden akıyor.

NIST Bile “Yapmayın” Diyor

İşin ironik tarafı, bu işin kitabını yazanlar bile artık “Yeter, yapmayın” demeye başladı. Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), yıllardır kullandığımız o meşhur kuralları değiştirdi. Diyorlar ki: “İnsanları şifrelerini sürekli değiştirmeye zorlamayın. İnsanları özel karakter kullanmaya zorlamayın.”

Neden? Çünkü insan psikolojisi.

Beni 90 günde bir şifre değiştirmeye zorlarsanız ne yaparım? Eski şifremin sonundaki rakamı bir artırırım. “Sifre1” olur “Sifre2”. Hackerlar aptal değil, onlar da bunu biliyor. Karmaşık karakter zorunluluğu koyarsanız ne yaparım? Şifreyi unutmamak için monitörümün altına yapıştırdığım sarı bir kağıda yazarım. İşte size muazzam bir güvenlik açığı.

An office desk environment. A computer monitor has a yellow sticky note attached to its bottom bezel. On the sticky note, a complex password like "P@ssw0rd123!" is handwritten clearly. In the background, out of focus, a server rack with blinking lights is visible.

Sektörde “kullanıcıyı eğitmek” diye bir tabir vardır, bayılırım. Sanki suçlu her zaman kullanıcıymış gibi. Oysa ki güvenli bir sistem, kullanıcının hata yapma lüksünü de hesaba katan sistemdir. Ben yorgun olabilirim, dalgın olabilirim, o an elimdeki kahve dökülmek üzere olabilir. Sistem beni korumalı, beni sınav yapmamalı.

Peki çözüm ne? Biyometrik veriler mi? Parmak izi, yüz tanıma? Eh, bir nebze. Ama parmak iziniz çalınırsa değiştiremezsiniz, o da ayrı bir dert. Asıl çözüm, şifresiz (passwordless) bir geleceğe doğru gitmek. Telefonunuzdaki o “passkey” teknolojileri, donanım anahtarları… Bunlar doğru adımlar. Ama bankalar ve e-ticaret siteleri o hantal altyapılarını güncelleyene kadar biz daha çok “Lütfen en az bir tane noktalama işareti kullanın” uyarısıyla bakışacağız.

Bir de şu iki faktörlü doğrulama (2FA) meselesi var. Hani telefonunuza SMS geliyor. Bakın, hiç yoktan iyidir, kesinlikle kullanın. Ama SMS dediğiniz teknoloji, 90’lardan kalma bir altyapı kullanıyor ve “SIM Swapping” denilen yöntemle ele geçirilmesi, yetenekli bir dolandırıcı için çocuk oyuncağı. Yine de, kapıda hiç kilit olmamasından iyidir.

Konuyu dağıtmayalım. Asıl mesele şu ki, dijital güvenlik bireysel bir çaba olmaktan çıktı. Siz evinizin kapısını istediğiniz kadar çelik yapın, apartmanın temeli çürükse o kapı sizi kurtarmaz.

Şirketlerin, güvenliği “kullanıcının sırtına yüklenen bir angarya” olarak görmekten vazgeçip, altyapılarına yatırım yapması gerekiyor. Ama yatırım pahalı, kullanıcıyı suçlamak bedava. Verileriniz sızdığında “Kişisel Verileri Koruma Kanunu kapsamında üzgünüz” diye mail atıp, altına da “Bir dahaki sefere şifrenize @ işareti koyun” demeye devam edecekler.

Bu arada, yazının başında bahsettiğim akıllı tartı var ya… Kurulumu bitirdim, şifreyi hallettim. İki gün sonra pili bitti. Pili değiştirmeye üşendiğim için şu an banyoda sadece pah

E-Posta
MEMDUH BİÇER

MEMDUH BİÇER

0 0 votes
Article Rating
Subscribe
Bildir
guest
0 Yorum
Eskiler
En Yeniler Beğenilenler
Inline Feedbacks
View all comments

İlgili İçerikler

Spor

14 Şubat 2026 Spor Haberleri: Günün

Gündem

2026 Ramazan Başlangıç Tarihi: 11 Ayın

Dünya

Budist Keşiş Olimpiyata Damga Vurdu

Spor

Süper Ligin Eski Efsanesi Borç Batağında:

Dünya

Orta Doğu’da Tansiyon Yükseliyor: ABD’den İrana

Ekonomi

Satılık ve Kiralık Evlerde Fiyat Artışını

0
Would love your thoughts, please comment.x