parolalar

Her iki paroladan biri (neredeyse) bir dakikadan kısa sürede kırıldı

İki yıl önce ilk kez gerçekleştirdiğimiz, karanlık ağda sızdırılan gerçek hayattaki parolaların kırılabilirliğine ilişkin çalışmamızı yeniden ele aldık. Sonuçlar düşündürücü: Parolaların neredeyse yarısı bir dakikadan kısa sürede kırılabilirken, beş paroladan üçü bir saatten az sürede kırılıyor. Güvenli olmayan parolalardan nasıl kurtulabiliriz?

Alexey Antonov
Mayıs 21, 2026

Her yıl, yüz milyonlarca gerçek kullanıcı parolası karanlık ağa sızıyor. 2023 ile 2026 yılları arasında karanlık web sızıntılarından elde edilen 231 milyon benzersiz parolayı inceledik ve sonuçlar iç karartıcı: Parolaların büyük çoğunluğu son derece zayıf. Bu parolaların %60’ını kırmak için bir bilgisayar korsanının sadece bir saati ve cebinde birkaç dolar olması yeterli. Ayrıca, parola kırma vakaları her geçen yıl artıyor; 2024 yılında yaptığımız benzer araştırmada, güvenli olmayan parolaların oranı daha düşüktü.

Bugün, ortalama bir parolanın ne kadar güvenilir olduğunu (spoiler: pek değil) ve daha sağlam yöntemler kullanarak verilerinizi ve hesaplarınızı nasıl güvence altına alabileceğinizi ele alacağız. Aynı zamanda, gerçek kullanıcı parolalarında en sık rastlanan kalıplara da değineceğiz.

Parolalar nasıl kırılır?

Önceki çalışmamızda parolaların depolanması ve kırılmasına yönelik yöntemlerin ayrıntılarını ele almıştık; ancak burada temel bilgileri kısaca tekrarlayalım.

Günümüzde parolalar neredeyse hiçbir zaman düz metin olarak saklanmaz. Örneğin, “Password123!” parolasıyla bir hesap açarsanız, sunucu bu parolayı olduğu gibi kaydetmez. Bunun yerine, parola belirli algoritmalar kullanılarak karma hale getirilir ve harflerle rakamlardan oluşan sabit uzunlukta bir dizgeye (karma) dönüştürülür; sunucuda kalan da aslında budur. Örneğin, “Password123!” parolasının MD5 karma değeri şöyle görünür:

2c103f2c4ed1e59c0b4e2e01821770fa.

Kullanıcı parolasını her girdiğinde, bu parola bir karma değerine dönüştürülür ve sunucuda depolanan karma değeriyle karşılaştırılır; karma değerleri eşleşirse, parola doğrudur. Bir saldırgan bu karma değerine ulaşırsa, orijinal parolayı bulmak için onu şifresini çözmesi gerekir; buna “parola kırma” denir. Bu işlem genellikle sahip olunan veya kiralanan GPU’lar kullanılarak gerçekleştirilir ve kırma işlemi için çeşitli yöntemler uygulanabilir:

Kapsamlı sayma yöntemi (deneme yanılma): Bilgisayar, karakterlerin tüm olası kombinasyonlarını dener ve her biri için karma değerini hesaplar. Bu yöntem, kısa parolaları veya tek bir karakter kümesinden oluşan parolaları (örneğin, sadece rakamlardan oluşanlar) kırmanın en kolay yoludur.
Gökkuşağı tabloları: Basit bir parola kullanan herkes için tam bir kabus olan bu liste, esasen deneme yanılma saldırıları ya da akıllı algoritmalarla parola karma değerleri kırılmış parolaların yer aldığı bir “adres defteri” niteliğindedir. Saldırganın tek yapması gereken, eşleşen bir karma bulmak ve ona hangi parolanın karşılık geldiğini görmektir.
Akıllı kırma: Bu algoritmalar, sızdırılmış parolalardan oluşan veri tabanlarıyla eğitilmiştir. Farklı karakter kombinasyonlarının ortaya çıkma sıklığını bilirler ve kontrollerini en olası dizilerden en az popüler olanlara doğru sırayla gerçekleştirirler. Bu yöntemler, sözlük kelimelerini ve karakter ikamelerini (a → @ veya s → $) hesaba katar ve “sözlük kelimesi + sayı + özel karakter” gibi yaygın parola yapılarını göz önünde bulundurur; aynı zamanda gökkuşağı tablolarına göre karma değerlerini karşılaştırır. Bu yöntemlerin bir araya getirilmesi, kırılma sürecini önemli ölçüde hızlandırır.

Bunun yanı sıra, saldırganlar parolaları düz metin olarak da ele geçirebilirler. Bunu gerçekleştirmenin pek çok yolu vardır; bunlar arasında, kurbanın sahte bir web sayfasına yönlendirilip parolasını kendi isteğiyle girmesini sağlayan kimlik avı (phishing) ve tuş vuruşlarını kaydeden tuş kaydediciler (keylogger) ile belgeleri, çerezleri, panodaki verileri ve daha fazlasını çalan bilgi hırsızları veya Truva atları sayılabilir. Ne yazık ki, birçok kullanıcı parolalarını notlarda, mesajlaşma uygulamalarında ve belgelerde düz metin olarak saklıyor ya da saldırganların saniyeler içinde ele geçirebileceği tarayıcılara kaydediyor.

Her yıl, yaklaşık yüz milyon adet düz metin parola sızıntısını takip ediyoruz. Bu veri tabanlarını, Kaspersky Password Manager kullanıcılarının verilerinin ele geçirilmiş olması durumunda onları uyarmak için kullanıyoruz. Bu konuda bize en sık sorulan soruyu yanıtlamak gerekirse: Hayır, kullanıcılarımızın parolalarını bilmiyoruz. Sızıntı analizi teknolojimiz ve parola yöneticimizin iç mimarisine ilişkin genel bakışlarımızda; parolalarınızı bilmeden onları sızdırılmış parolalarla tam olarak nasıl karşılaştırdığımızı ve Kaspersky Password Manager‘da depolanan parolalarınızın ve de bunların karma değerlerinin hiçbir zaman cihazınızdan dışarı çıkmamasının nedenini, teknik terimler kullanmadan açıkladık. Bir göz atın; tasarımın ne kadar zarif olduğuna şaşıracaksınız.

Parolaların %60’ı bir saatten kısa sürede kırılıyor

Önceki çalışmamızın veri tabanını, saldırganların karanlık web forumlarında paylaştığı 38 milyon gerçek parola ile genişlettik ve sonuçları karşılaştırdık. Testler, MD5 algoritmasıyla karma işlemi yapılmış parolalar için tek bir RTX 5090 GPU kullanılarak gerçekleştirildi. Analiz için gerekli veriler, Dijital Ayak İzi İstihbarat hizmetimizden elde edildi. Parola gücünü değerlendirmek için kullandığımız algoritmayı Securelist’teki makalemizde inceleyebilirsiniz.

Ne yazık ki, parolalar her zamanki gibi zayıf kalmaya devam ederken, bunları kırmak her geçen yıl daha hızlı ve daha kolay hale geliyor. Günümüzde parolaların %60’ı bir saatten daha kısa sürede kırılabiliyor; iki yıl önce bu oran %59 idi. Ancak asıl korkutucu olan şu ki parolaların neredeyse yarısı (%48) bir dakikadan daha kısa sürede kırılıyor!

Kırılma süresi	2024 yılında bu süre içinde kırılabilecek parolaların yüzdesi	Bugün bu süre içinde kırılabilen parolaların yüzdesi
Bir dakikadan az	%45	%48
Bir saatten az	%59 (+%14)	%60 (+%12)
24 saatten az	%67 (+%8)	%68 (+%8)
Bir aydan az	%73 (+%6)	%74 (+%6)
Bir yıldan az	%77 (+%4)	%77 (+%3)
Bir yıldan fazla	%23	%23

Parola kırma süresi: İki yıl öncesi ve bugün

Saldırganlar, bu hız artışını her yıl daha da güçlenen grafik işlemcilere borçlu. 2024 yılında bir RTX 4090, MD5 karma işlemlerini saniyede 164 gigahash (milyar karma işlem) hızında deneme yanılma yöntemiyle kırabilirken, yeni RTX 5090 bu hızı %34 artırarak saniyede 220 gigahash’e ulaştı.

Ve bu tür bir üst düzey ekran kartı şu anda birkaç bin dolara satılmasına rağmen, fiyat etiketi pek de büyük bir engel teşkil etmiyor: GPU hesaplama gücünü kiralamak için pek çok uygun fiyatlı bulut hizmeti mevcut. Yapılandırmaya ve modele bağlı olarak, kiralama ücretleri saat başına birkaç sent ile birkaç dolar arasında değişmekte. Görüldüğü üzere, bir saldırganın sızıntılarda bulduğu her beş paroladan üçünü kırması için tek gereken bir saat. Ayrıca, işin büyüklüğüne bağlı olarak, tek bir GPU yerine her zaman on ya da hatta yüz tane GPU kiralayabilirler…

Bir veri kümesindeki tüm parolaları kırmanın, tek bir parolayı kırmaktan çok daha uzun sürmediğini belirtmek gerekir. Her yinelemede, saldırgan belirli bir karakter kombinasyonu için bir karma değeri hesapladıktan sonra, bu karma değerinin veri kümesinde herhangi bir yerde bulunup bulunmadığını kontrol eder. Veri kümesi ne kadar büyükse, bir eşleşme bulmak o kadar kolay olur. Bir eşleşme bulunursa, ilgili parola “kırılmış” olarak işaretlenir ve algoritma bir sonrakine geçer.

Hangi parolalar savunmasızdır?

Herhangi bir parolanın gücü; uzunluğuna, içerik çeşitliliğine ve bu içeriğin rastgeleliğine bağlıdır. İnsanlar tarafından oluşturulan parolalar en az dayanıklı olanlar olarak ortaya çıkıyor. Ne yazık ki, insanlar oldukça tahmin edilebilirler. Akıllı algoritmaların çoktan çözmüş olduğu sözlük kelimelerini ve karakter kombinasyonlarını kullanıyoruz; uzun rastgele dizilerden kaçınıyoruz ve rastgele olduğunu düşündüğümüz tuş vuruşlarında bile kalıplar bulunabiliyor. İlginçtir ki, yapay zeka tarafından oluşturulan parolalar hâlâ insan dokunuşunu yansıtıyor; bu konuyu, güçlü ama akılda kalıcı bir parola oluşturma konusunda yazdığımız ayrı bir yazımızda ele almıştık.

Parola uzunluğu, kırılma süresini etkileyen en önemli faktör. Aşağıdaki tablodan da görebileceğiniz gibi, neredeyse her türlü sekiz karakterlik parolayı kırmak 24 saatten az sürüyor.

Belirli bir zaman aralığı içinde kırılabilen farklı parola uzunluklarının yüzdesi

Ancak parolanızın tahmin edilebilirliği de en az o kadar önemli. Kolayca hatırlanabilir bir kelimeye bir rakam ya da özel karakter ekleyerek güvenliği artırdığınızı mı sanıyorsunuz? Evet, ama sadece birazcık. İnsanların parola oluştururken kullandıkları kalıplar kolayca tahmin edilebilir ve bazen oldukça komik olabilir, ancak bu gülünecek bir konu değildir.

Parola kalıpları hakkında öğrendiklerimiz

200 milyondan fazla parolanın incelenmesi, akıllı algoritmaların kullanıcı parolalarını kolaylıkla kırmasına olanak tanıyan belirgin kalıpları ortaya çıkardı.

Bir sayı seçin

Tüm parolaların yarısından fazlası (%53) bir veya daha fazla rakamla biterken, yaklaşık her altı paroladan biri (%17) bir rakamla başlıyor. Her sekiz parola (%12), 1950 ile 2030 arasındaki yıllara çok benzeyen diziler içeriyor ve her on paroladan biri (%10) özellikle 1990 ile 2026 arasında yer alıyor. Bunun en olası nedeni, kullanıcıların kendi doğum yıllarını (ya da yakın birinin doğum yılını), başka bir önemli tarihi ya da parolayı veya hesabı oluşturdukları yılı eklemeleridir. İlginç bir bilgi: Bu tarihlerin dağılımına bakıldığında, en aktif internet kullanıcılarının 2000 ile 2012 yılları arasında doğmuş olduğu anlaşılıyor.

Ancak, tüm sayısal kombinasyonlar arasında en popüler olanı… tahmin ettiğiniz gibi: “1234”. Genel olarak, sıralı tuş vuruşlarından oluşan kalıplar (“asdf”, “qwerty” ve benzeri) parolaların %3’ünde görülmekte.

Özel karakterler her sorunun çözümü değildir

Son yıllarda uygulanan parola ilkelerinin çoğu, en az bir özel karakter kullanılmasını şart koşmakta. Bu kategorinin tartışmasız birincisi, her 10 paroladan birinde yer almaktadır @ simgesidir. Nokta (.) ikinci sırada yer alırken, onu üçüncü sırada ünlem işareti (!) izliyor.

Aşk dünyayı yönetir… Skibidi Toilet da öyle

Duygusal anlam yüklü kelimeler genellikle parolaların temelini oluşturuyor ve her şeye rağmen olumlu kelimeler daha yaygın. Sıkça rastlanan örnekler arasında “aşk”, “melek”, “takım”, “arkadaş”, ‘hayat’ ve “yıldız” sayılabilir. Bununla birlikte, olumsuzluklar da ortaya çıkıyor, özellikle de yaygın İngilizce küfürler şeklinde.

İlginç bir şekilde, viral akımlar parolalara da yansıyor. 2023 ile 2026 yılları arasında, parolalarda Skibidi kelimesinin kullanımı 36 katına çıktı! Doğal olarak (eğer doğal gelmiyorsa bağlantıya bakın), “tuvalet” kelimesi de bir artış kaydetti, ancak bu artış daha azdı.

Kullanıcılar parolalarını yıllarca değiştirmeden kullanma eğilimindedir

Son zamanlarda ortaya çıkan sızıntılarda tespit ettiğimiz parolaların yarısından fazlası (%54) daha önce de sızdırılmıştı. Bunun bir kısmı, aynı verilerin bir veri kümesinden diğerine aktarılmasıyla açıklanabilir. Ancak, çok daha endişe verici bir neden daha var: Pek çok kullanıcı yıllardır parolalarını hiç değiştirmedi.

Parolalarda bulunan tarihlerin incelenmesi, 2020 ile 2024 yılları arasındaki tarihleri içeren kombinasyonların hâlâ popüler olduğunu gösteriyor. Görünüşe göre insanlar parolalarını oluştururken parolalarına o yılın sayısını ekliyorlar ve sonra birkaç yıl boyunca bunu unutuyorlar. Bu sayede bir parolanın ortalama ömrünün yaklaşık üç ila beş yıl olduğunu hesaplayabiliyoruz.

Bu, tehlikeli bir eğilim. Öncelikle, akıllı algoritmalar bu tür bir zaman diliminde çok daha karmaşık parolaları kırabilir. İkincisi, parolanız ne kadar uzun süre değiştirilmezse, bir güvenlik ihlali, kötü amaçlı yazılım bulaşması veya kimlik avı saldırısı yoluyla sızma olasılığı o kadar artar.

Aynı parola birden fazla hesapta kullanıldığında durum daha da kötüleşir. Bu durumda saldırganların hiçbir şeyi kırmasına gerek bile yoktur; tek bir veri sızıntısında parolanızı bulup bunu diğer sitelerde kullanmaları yeterlidir.

Parolalarınızı ve hesaplarınızı nasıl koruyabilirsiniz?

Bu yazıyı okurken kendi parolalarınızın da kolayca kırılabilenler arasında olduğunu fark ettiyseniz, paniğe kapılmayın. Sizin için basit ama çok önemli ipuçlarından oluşan bir liste hazırladık.

Bir parola yöneticisi kullanın

En zayıf parolalar, insanların kendi kafalarından uydurdukları parolalardır. Her site için benzersiz ve uzun bir parola gerektiğinden, yüzlerce adet 16-20 karakterlik rastgele karakter dizisini oluşturmak ve ezberlemek, ürkütücü ve gerçekçi olmayan bir iştir.

Bu yüzden parola oluşturma ve saklama işlerini parola yöneticimize devretmelisiniz. Sadece karmaşık, rastgele parolalar oluşturup bunları şifreli bir biçimde saklamakla kalmaz; aynı zamanda tüm cihazlarınızı senkronize eder. Kasanızın parolasını çözmek için sadece, sizin dışınızda kimsenin bilmediği tek bir ana parolayı hatırlamanız yeterlidir. Bu konuda, anımsatıcı parolalarla ilgili kılavuzumuz size yardımcı olabilir.

Parolaları düz metin olarak saklamayın

Ne yaparsanız yapın, parolalarınızı asla dosyalara, mesajlara veya belgelere yazmayın. Bunlar, bir parola yöneticisinin sağladığı güçlü şifreleme özelliğinden yoksundur. Ayrıca, bir Truva atı veya bilgi hırsızı bulaşırsa, bu tür notlar anında saldırganların eline geçer.

Parolalarınızı tarayıcınızda saklamayın

Birçok kullanıcı parolalarını tarayıcılarında kaydeder, özellikle de tarayıcılar bunu otomatik olarak yapma kolaylığı sunduğu için. Ne yazık ki araştırmalar, kötü amaçlı yazılımların bu parolaları tüm popüler tarayıcılardan neredeyse anında ele geçirecek şekilde geliştiğini gösteriyor. Kaspersky Password Manager, favori tarayıcınızdan kaydedilmiş parolaları içe aktarmanıza yardımcı olabilir; basit, üç adımlı kılavuzumuzu takip etmeniz yeterlidir. En önemlisi, içe aktarma işlemi tamamlandığında tarayıcının parola depolama alanını temizlemeyi unutmayın.

Geçiş anahtarlarına geçin

Mümkün olduğunca, parolaların yerine geçen kriptografik bir alternatif olan geçiş anahtarlarını kullanın. Bu yapılandırmada, hizmet bir açık anahtar saklarken, özel anahtar cihazınızda kalır ve hiçbir zaman aktarılmaz. Giriş sırasında cihaz, tek seferlik bir talebi imzalar. Ayrıca, geçiş anahtarları belirli bir etki alanına bağlıdır; bu da sahte adresler kullanılarak yapılan kimlik avı saldırılarının işe yaramayacağı anlamına gelir. Kaspersky Password Manager, hem parolaları hem de geçiş anahtarlarını saklamanıza olanak tanıyarak; Windows, Android, macOS ve iOS dahil olmak üzere farklı platformlar arasında bunları senkronize etme sorununu ortadan kaldırır.

İki faktörlü kimlik doğrulamayı etkinleştirin

Mümkün olan her yerde iki faktörlü kimlik doğrulamayı etkinleştirin. Parolanız ele geçirilse bile, doğru şekilde yapılandırılmış bir iki faktörlü kimlik doğrulama sistemi, saldırganın hesabınıza erişmesini son derece zorlaştırır. En üst düzeyde güvenlik için SMS yoluyla gönderilen tek kullanımlık kodları kullanmayın, bunun yerine kimlik doğrulama uygulamalarını tercih edin. Evet, Kaspersky Password Manager bu konuda da oldukça kullanışlıdır.

Dijital hijyene özen gösterin

Unutmayın, parolalarınızı doğru bir şekilde saklamak işin sadece yarısıdır. Dijital hijyen kurallarına uymak çok önemlidir: Doğrulanmamış dosyaları, korsan yazılımları, hile programlarını veya kırma araçlarını indirmekten kaçının ve rastgele bağlantılara tıklamayın. Son yıllarda bilgi hırsızı saldırılarının sayısı giderek artmaktadır; bu da tam koruma için sağlam bir güvenlik çözümüne ihtiyacınız olduğu anlamına gelir. Biz, tüm cihazlarınızı Truva atları, kimlik avı ve diğer tehditlere karşı koruyan Kaspersky Premium uygulamasını öneriyoruz. Ayrıca, aboneliğe parola yöneticimiz de dahildir.

Hesap güvenliğini ciddiye alanlar; parolalar, geçiş anahtarları ve iki faktörlü kimlik doğrulama ile ilgili yazılarımıza göz atabilirler:

2025’te Geçiş Anahtarları: Parolasız oturum açma için eksiksiz kılavuzunuz

2025’te Geçiş Anahtarları: Güçlü Kullanıcılar için ipuçları

Unutulmayacak bir parola oluşturma

Güçlü parolalar nasıl oluşturulur ve nerede saklanır?

Kaspersky’ye geçiş: Adım adım geçiş kılavuzu

Kuruluşunuzu AirSnitch Wi-Fi güvenlik açıklarından nasıl koruyabilirsiniz?

AirSnitch: Wi-Fi istemci ağ izolasyonu ve misafir ağlarına yönelik saldırılar

AirSnitch güvenlik açığı ailesi kurumsal ağları nasıl tehdit ediyor ve korunmak için ağ mimarinizde ve ayarlarınızda hangi değişiklikleri yapmanız gerekiyor?

İpuçları

Güvenlik sisteminiz güvenli mi?

Bir güvenlik konsolunu korumak, sanıldığından daha önemlidir. İşte kontrol katmanının ele geçirilmesi konusunda bilmeniz gerekenler ve bunun nasıl önlenebileceği.

Fişi Çekin: Bilgisayarınızda ve akıllı telefonunuzda yapay zekayı nasıl devre dışı bırakabilirsiniz?

Yapay zeka ile ilgili özetlerde yer alan halüsinasyonlardan bıktınız ve Copilot’un neden ve nasıl birdenbire bilgisayarınızda ortaya çıktığına dair hiçbir fikriniz yok mu? İşte popüler hizmetlerdeki bu rahatsız edici yapay zeka özelliklerini kapatmak için bir kılavuz.

Devlet hizmetleri ve Starlink uygulamaları kılığına giren Android truva atı

Casusluk, kripto para hırsızlığı ve madencilik faaliyetlerini, akıllı telefonlara yerleşmek için geliştirdiği yaratıcı yöntemlerle birleştiren BeatBanker truva atı saldırısını ayrıntılı olarak inceliyoruz.

Tarayıcı içinde tarayıcı saldırıları: Teoriden gerçeğe

2022 yılında teorik olarak açıklanan tarayıcı içinde tarayıcı saldırısı, gerçek hayattaki kimlik avı saldırılarında kullanılmaya başlandı. Nasıl çalıştığını ve sahte kimlik doğrulama penceresini nasıl tespit edebileceğinizi açıklıyoruz.

Gizlilik ve Çocuklar

Hedeflenen Güvenlik Çözümleri