Şifre Aracı Oluşturucuya dön

Güvenlik rehberi

Bir Şifre Ne Kadar Uzun Olmalı?

12, 16, 20 veya 32 karakter arasında ne zaman seçim yapacağınızı ve şifre uzunluğu, benzersizlik ve depolamanın görsel karmaşıklıktan neden daha önemli olduğunu öğrenin.

Özet

Çoğu modern hesap için 16 rastgele karakter güçlü bir pratik temeldir. Önemli kişisel, e-posta, bankacılık, iş veya yönetici hesapları için 20 veya daha fazla karakter kullanın. Şifre bir yöneticide saklanacaksa ve yüksek değerli erişimi koruyorsa 32 karakter kullanın.

16 karakter, 20 karakter veya 32 karakter oluşturucularını deneyin.

Uzunluk aralıkları

Kısa şifrelerin tahmin edilmesi daha kolaydır çünkü daha az olası kombinasyon vardır. Altı ila dokuz karakter normalde hesap güvenliği için çok kısadır. On ila on dört karakter birçok hizmet tarafından kabul edilebilir, ancak önemli hesaplar için tercih edilen hedef olarak görülmemelidir.

On altı rastgele karakter, bir şifre yöneticisi değeri sakladığında iyi bir varsayılandır. Yirmi karakter, birçok siteyle uyumlu kalırken marj ekler. Otuz iki karakter, yönetici panelleri, şifrelenmiş dosyalar, veritabanı kimlik bilgileri ve yerel sırlar için kullanışlıdır.

Rastgele uzunluk ve insan yapımı uzunluk

Rastgele 16 karakterli bir şifre, insan yapımı 16 karakterli bir ifadeden çok farklıdır. İnsan seçimleri genellikle kelimeler, tarihler, isimler ve tahmin edilebilir sonlar içerir. Saldırganlar, kör kaba kuvvet denemesinden önce bu kalıpları test eder.

Pratik öneriler

Ayrıntılı rehber

Bu kılavuz, farklı hesap riskleri için şifre uzunluğu seçmeye odaklanır. 12, 16, 20, 24 ve 32 karakter seçeneklerini karşılaştıran okuyucular için yazılmıştır, bu nedenle pratik amaç dramatik bir güvenlik iddiası oluşturmak değildir. Amaç, günlük kullanımda hayatta kalabilecek bir şifre alışkanlığı seçmektir: oturum açma formları, şifre yöneticileri, mobil klavyeler, hesap kurtarma, paylaşılan cihazlar ve ara sıra karşılaşılan garip doğrulama kurallarına sahip hizmetler. Güvenli bir öneri, ancak gerçek bir kişi onu tutarlı bir şekilde takip edebiliyorsa kullanışlıdır.

En güvenli başlangıç noktası rastgelelik artı benzersizliktir. Rastgelelik, değerin bir doğum günü, evcil hayvan adı, klavye deseni veya favori bir alıntıdan icat edilmediği, kriptografik olarak uygun bir rastgele kaynak tarafından geniş bir alandan seçildiği anlamına gelir. Benzersizlik, aynı şifrenin başka hiçbir yerde kullanılmadığı anlamına gelir. Uzun ancak yeniden kullanılan bir şifre, ilgisiz bir ihlalden sonra hızla başarısız olabilirken, benzersiz bir rastgele şifre hasarı yalnızca kullanıldığı tek hesapla sınırlar.

Bu konu için pratik bir ön ayar, sıradan hesaplar için 16 karakter, önemli hesaplar için 20 veya daha fazla ve yazılmak yerine saklanan sırlar için 32 karakterdir. Bu ön ayarı 32 karakter şifre oluşturucu ile uygulayabilir ve ardından nihai değeri güvenilir bir şifre yöneticisinde saklayabilirsiniz. PwdGen, değerleri tarayıcıda Web Crypto ile yerel olarak oluşturur; oluşturulan şifre bir PwdGen sunucusuna gönderilmez. Bu yerel tasarım, sunucu tarafı maruziyetini azaltır, ancak her tehdide karşı koruma sağlamaz. Kötü niyetli bir tarayıcı uzantısı, güvenliği ihlal edilmiş bir cihaz, bir kimlik avı sayfası veya güvenli olmayan pano işleme, oluşturulduktan sonra bir sırrı hala açığa çıkarabilir.

Kaçınılması gereken en yaygın sorunlar kısa rastgele değerler, maksimum uzunluk sınırları, eski formlar ve sabit bir sayının her sistem için güvenli olduğunu varsaymaktır. Bu sorunlar önemlidir çünkü saldırganlar, insan alışkanlıkları onlara bir kısayol verdiğinde nadiren her olası şifreyi kaba kuvvetle denemek zorunda kalır. Kimlik bilgisi doldurma (credential stuffing), kimlik avı, sızdırılmış şifre listeleri ve hesap kurtarma kötüye kullanımı, genellikle saf matematiksel bir aramadan daha gerçekçidir. Bu nedenle en iyi tavsiye, şifre kalitesini MFA, geçiş anahtarları (passkeys), kurtarma kodu depolama ve kurtarma e-postası veya telefon ayarlarının düzenli olarak gözden geçirilmesi gibi hesap düzeyindeki kontrollerle birleştirir.

Öneriyi uygularken bu kontrol listesini kullanın:

Bir web sitesi ideal ayarı reddederse, şifreyi elle daha zayıf bir kalıba zorlamayın. Her seferinde bir değişkeni ayarlayın. Semboller reddedilirse, büyük harf, küçük harf ve sayıları etkin tutun ve uzunluğu artırın. Maksimum uzunluk düşükse, kabul edilen en büyük uzunluğu kullanın ve değerin benzersiz olduğundan emin olun. Bir şifre yüksek sesle okunacak, yazdırılacak veya bir televizyon veya yönlendirici ekranında yazılacaksa, kafa karıştırıcı karakterleri hariç tutmayı ve daha küçük alfabeyi telafi etmek için uzunluğu artırmayı düşünün.

Son olarak, şifre tavsiyesinin sınırını unutmayın. Güçlü bir şifre bir savunma katmanıdır, bir garanti değildir. Bir kimlik avı sayfasını güvenli hale getiremez, kötü amaçlı yazılımı düzeltemez veya kimlik bilgilerini kötü depolayan bir hizmeti telafi edemez. Yararlı alışkanlık sıkıcı ama dayanıklıdır: benzersiz bir değer oluşturun, güvenli bir şekilde saklayın, kurtarma yolunu koruyun ve maruz kalmadan şüpheleniyorsanız hızla değiştirin.

Sıkça sorulan sorular

12 karakter yeterli mi?

Rastgele 12 karakterli bir şifre uyumluluk için yararlı olabilir, ancak hizmet kabul ettiğinde 16 veya daha fazlası daha iyi bir varsayılandır.

20 veya 32 karakteri ne zaman kullanmalıyım?

Önemli hesaplar için 20 veya daha fazla, bir şifre yöneticisinde saklanan yönetici, şifrelenmiş dosya veya geliştirici sırrı iş akışları için 32 kullanın.

Bir şifre çok uzun olabilir mi?

Bazı hizmetler maksimum uzunluklar dayatır veya sembolleri reddeder. Hedefin kabul ettiği en uzun benzersiz rastgele değeri kullanın.

Kaynaklar