Güvenli Şifre Yönetimi ve Parola Politikaları
Güvenli şifre politikası oluşturma, şifre yöneticisi kullanımı, PAM ile Linux şifre politikası ve kurumsal parola yönetimi en iyi pratikleri.
Güvenli Şifre Yönetimi ve Parola Politikaları
Veri ihlallerinin %80'inden fazlası zayıf veya çalınmış şifrelerle ilgilidir. Güçlü bir şifre politikası, güvenliğin temel taşıdır.
Güçlü Şifre Nedir?
| Özellik | Gereksinim |
|---|---|
| Minimum uzunluk | 12 karakter (kritik sistemler: 16+) |
| Büyük harf | En az 1 |
| Küçük harf | En az 1 |
| Rakam | En az 1 |
| Özel karakter | En az 1 (!@#$%^&*) |
| Tahmin edilemezlik | Kişisel bilgi içermemeli |
| Benzersizlik | Her hesap için farklı |
Kötü Şifre Örnekleri
✗ 123456 ← Tahmin edilebilir
✗ password ← Sözlük saldırısı riski
✗ Ahmet1990 ← Kişisel bilgi
✗ Admin123! ← Çok yaygın
✗ Aynı şifreyi her yerde kullanmak
İyi Şifre Oluşturma Yöntemleri
1. Passphrase (Şifre Cümlesi):
"Mavi denizde 3 balık yüzüyor!" → MdenizdE3bAlıkYüZüYor!
Bu şifre: uzun + hatırlanabilir + güçlü
2. Şifre Yöneticisi Kullanımı:
Önerilen şifre yöneticileri:
- Bitwarden (açık kaynak, ücretsiz)
- 1Password (kurumsal)
- KeePassXC (lokal, açık kaynak)
- Dashlane (kullanıcı dostu)
Her hesap için rastgele, benzersiz şifre üretir.
Örnek üretilen şifre: 7K#mP9vR$qL2&xN8
İki Faktörlü Kimlik Doğrulama (2FA)
2FA türleri:
1. TOTP (Time-based One-Time Password): Google Authenticator, Authy
2. Hardware token: YubiKey
3. SMS kodu (en az güvenli, sim swap riski)
4. E-posta kodu
5. Push bildirimi: Duo Security
Kritik sistemler için 2FA zorunlu olmalıdır.
Linux PAM Şifre Politikası
pam_pwquality ile:
# Ubuntu/Debian
apt install libpam-pwquality
# /etc/security/pwquality.conf
cat > /etc/security/pwquality.conf << 'EOF'
# Minimum uzunluk
minlen = 14
# Minimum karakter sınıfı sayısı
minclass = 3
# Eski şifreyle maksimum benzerlik
difok = 7
# Ardışık aynı karakter sayısı
maxrepeat = 2
# Kullanıcı adı içeremez
usercheck = 1
# Sözlük kontrolü
dictcheck = 1
EOF
/etc/pam.d/common-password (Ubuntu):
password requisite pam_pwquality.so retry=3
password required pam_pwhistory.so remember=5
Şifre Sona Erme Politikası:
# Varsayılan politika /etc/login.defs
vim /etc/login.defs
# PASS_MAX_DAYS 90 → Maksimum 90 günde bir değiştir
# PASS_MIN_DAYS 7 → Minimum 7 gün önceki şifreye dönme
# PASS_WARN_AGE 14 → 14 gün önceden uyarı
# Mevcut kullanıcıya uygula
chage -M 90 -m 7 -W 14 kullanici
# Kullanıcı şifre durumu
chage -l kullanici
Hesap Kilitleme
# /etc/pam.d/common-auth'a ekle
# pam_faillock ile hesap kilitleme
auth required pam_faillock.so preauth silent deny=5 unlock_time=900
auth sufficient pam_unix.so
auth [default=die] pam_faillock.so authfail deny=5 unlock_time=900
# Kilitli hesabı kontrol et
faillock --user kullanici
# Kilidi aç
faillock --user kullanici --reset
Web Uygulama Şifre Güvenliği
PHP Güvenli Hash:
// Şifre hash'le
$hash = password_hash($password, PASSWORD_ARGON2ID, [
'memory_cost' => 65536,
'time_cost' => 4,
'threads' => 3,
]);
// Doğrula
if (password_verify($input, $hash)) {
// Başarılı
}
// Hash güncelleme ihtiyacı kontrolü
if (password_needs_rehash($hash, PASSWORD_ARGON2ID)) {
$newHash = password_hash($password, PASSWORD_ARGON2ID);
// Yeni hash'i kaydet
}
Node.js:
const bcrypt = require('bcrypt');
// Hash (12 rounds önerilen)
const hash = await bcrypt.hash(password, 12);
// Doğrula
const match = await bcrypt.compare(inputPassword, hash);
Python:
import bcrypt
# Hash
password = b"kullanici_sifresi"
hashed = bcrypt.hashpw(password, bcrypt.gensalt(rounds=12))
# Doğrula
bcrypt.checkpw(password, hashed)
Kurumsal Şifre Yönetimi
Önerilen uygulamalar:
1. Merkezi şifre kasası: HashiCorp Vault, CyberArk
2. Privileged Access Management (PAM) çözümü
3. Servis hesabı şifre rotasyonu (otomatik)
4. Çalışan ayrılma sürecinde şifre sıfırlama prosedürü
5. Paylaşılan şifrelerden kaçının
Active Directory Politikası:
- Minimum 14 karakter
- 3 karakter sınıfı zorunlu
- 90 günde bir değiştir
- Son 12 şifreye dönme yasak
Şifre İhlali Kontrolü
# HaveIBeenPwned API ile şifre kontrolü
# https://haveibeenpwned.com/Passwords
# k-anonymity ile güvenli kontrol
python3 -c "
import hashlib, requests
password = 'test123'
sha1 = hashlib.sha1(password.encode()).hexdigest().upper()
prefix, suffix = sha1[:5], sha1[5:]
r = requests.get(f'https://api.pwnedpasswords.com/range/{prefix}')
found = any(line.split(':')[0] == suffix for line in r.text.splitlines())
print('EXPOSED' if found else 'Safe')
"
Büyükweb hosting panel erişiminizde güçlü şifre ve 2FA kullanmanızı öneririz. Güvenlik, en zayıf halka olan şifre yönetiminden başlar.
Web Guvenligi Kontrol Listesi
SSL/TLS Yapilandirmasi
TLS 1.2 ve 1.3 destekleyin, eski protokolleri devre disi birakin. HSTS etkinlestirin. SSL Labs testinde A+ hedefleyin.
Guvenlik Basliklari
X-Content-Type-Options, X-Frame-Options, Content-Security-Policy ve Permissions-Policy yapilandirin. XSS ve clickjacking koruması saglayin.
WAF Korumasi
ModSecurity veya Imunify360 ile SQL injection, XSS saldirilarina karsi koruma. OWASP kurallarini aktif edin. Rate limiting ile brute-force onleyin.
Malware Tarama
Imunify360 veya ClamAV ile duzenli tarama. Dosya degisikliklerini izleyin. Suphelileri karantinaya alin.
Parola Politikasi
Minimum 12 karakter, karma karakterler, 2FA etkinlestirme. Parola yoneticisi kullanin.
Yedekleme ve Felaket Kurtarma
Duzenli yedek alin ve test edin. Offline kopya tutun. Felaket kurtarma planini dokumante edin.
Sik Sorulan Sorular
Ucretsiz SSL ile ucretli farki nedir?
Let's Encrypt teknik olarak ayni sifreleme sunar. Ucretli sertifikalar garanti ve OV/EV dogrulama sunar.
Mixed content nasil cozulur?
Tum URL'leri https ile guncelleyin. WordPress'te Better Search Replace ile toplu guncelleme yapin.
Sertifika suresi doldu ne olur?
Ziyaretciler uyari gorur, SEO duser. certbot renew ile otomatik yenileme kullanin.
Sonuc
Guvenlik surekli bir surectir. Katmanli yaklasim ile sitenizi koruyun. Buyukweb paketlerinde Imunify360 ve ucretsiz SSL dahildir.
SSL Sertifika Turleri
| Tur | Dogrulama | Kullanim | Fiyat |
|---|---|---|---|
| DV (Domain) | Domain sahipligi | Kisisel site, blog | Ucretsiz-dusuk |
| OV (Organization) | Sirket dogrulama | Kurumsal site | Orta |
| EV (Extended) | Detayli dogrulama | Banka, e-ticaret | Yuksek |
| Wildcard | Tum subdomainler | Coklu subdomain | Orta-yuksek |
Let's Encrypt Otomatik Yenileme
Certbot ile sertifikalari otomatik yenileyin. Cron veya systemd timer ile 60 gunde bir yenileme zamanlayIn.
Guvenlik Denetim Kontrol Listesi
- SSL/TLS versiyonlari guncel mi?
- Guvenlik basliklari dogru yapilandirildi mi?
- WAF kurallari aktif mi?
- fail2ban calisiyor mu?
- Gereksiz portlar kapali mi?
- Root girisi devre disi mi?
- 2FA aktif mi?
- Yedekler duzenli aliniyor mu?
- Dosya izinleri dogru mu?
- Kullanilmayan servisler kapatildi mi?
Bu listeyi ayda bir kontrol ederek sunucunuzun guvenligini ust seviyede tutun.
Turkiye'de Hosting Sektoru 2025-2026
Sektorel Trendler
Turkiye hosting pazari hizla buyumektedir. E-ticaretin genislemesi, dijitallesme calismalarI ve uzaktan calisma trendi hosting talebini artirmaktadir. NVMe SSD, HTTP/3 ve edge computing gibi teknolojiler hosting performansini yeni seviyelere tasimaktadir.
Dikkat Edilmesi Gerekenler
Hosting sektoru rekabetci bir pazardir. Dusuk fiyat vaat eden ancak altyapı kalitesinden odun veren firmalardan kacinin. Gizli maliyet, yenileme fiyat artisi ve yetersiz destek en sik karsilasilan sorunlardir.
Hosting Firmasi Secim Kriterleri
- Veri merkezi lokasyonu: Turkiye'de veri merkezi olan firmalari tercih edin
- Uptime garantisi: Minimum %99.5, ideal %99.8+
- Teknik destek: 7/24 Turkce destek zorunlu
- Guvenlik: DDoS korumasi, SSL, WAF dahil olmali
- Yedekleme: Gunluk otomatik yedekleme olmali
- Olceklenebilirlik: Ihtiyac artiginda kolayca yukseltme yapilabilmeli
- Musteri yorumlari: Gercek kullanici deneyimlerini arastirin
Buyukweb 2009'dan beri bu kriterlerin tumunu karsilayarak 5.200+ musteriye guvenilir hosting hizmeti sunmaktadir. Sorulariniz icin 0850 302 60 70 numarasini arayabilir veya destek@buyukweb.com adresine yazabilirsiniz.
Sik Yapilan Hosting Hatalari
Hosting secimi ve yonetiminde en sik karsilasilan hatalar:
1. Sadece Fiyata Bakmak
En ucuz hosting her zaman en iyi secim degildir. Performans, guvenlik ve destek kalitesi fiyattan daha onemlidir. Dusuk maliyetli hostinglerde yenileme fiyatlari genellikle cok daha yuksektir.
2. Yedekleme Almamak
Otomatik yedekleme olsa bile, onemli degisikliklerden once manuel yedek almak hayati onem tasir. Yedeklerin geri yuklenebilirligini test etmeyen sirketler veri kaybi yasadiginda ciddi sorunlarla karsilasir.
3. Guncellemeleri Ertelemek
WordPress, eklentiler ve isletim sistemi guncellemelerini ertelemek guvenlik aciklarına davetiye cikarir. Otomatik guvenlik guncellemeleri yapilandirmak en temel onlemdir.
4. SSL Kullanmamak
Hala SSL sertifikasi olmayan web siteleri mevcut. SSL olmadan Google siralama duser, ziyaretci guveni azalir ve veri guvenligi tehlikeye girer. Ucretsiz Let's Encrypt sertifikasi bile yeterlidir.
5. Kaynak Planlamasi Yapmamak
Trafik artisina hazirliksiz yakalanmak, sitenizin cokmesine neden olabilir. Trafik trendlerini izleyin ve ihtiyac halinde kaynakları zamaninda artirin.
Etiketler:
