Bir parola oluşturucu, yalnızca iş için doğru türde bir güvenlik öğesi seçtiğinizde yardımcı olur. Birçok insanın takıldığı nokta tam olarak burasıdır. Daha güçlü bir şey istediklerini biliyorlar, ancak rastgele bir parola mı, akılda kalıcı bir parola ifadesi mi yoksa sayısal bir PIN mi oluşturmaları gerektiğinden emin değiller.

Karar vermenin en kolay yolu, hangisinin soyut anlamda en güçlü olduğunu sormayı bırakmaktır. Bunun yerine, hangi seçeneğin giriş bağlamına uyduğunu sorun. Bir web sitesi hesabı, günlük mobil giriş ve yerel cihaz kilidi açma işlemi, aynı türde bir risk oluşturmaz.

Hızlı bir şekilde seçim yapmak istiyorsanız, ana sayfadaki rastgele parola modu çoğu hesap girişi için en iyi varsayılandır; akılda kalıcı parola ifadesi modu ve ana sayfadaki PIN oluşturucu ise daha dar kapsamlı durumlarda daha mantıklıdır. Önemli olan, her birinin nereye ait olduğunu bilmektir.

Bir oluşturucu modu neden her girişe uyamaz?

Güçlü bir giriş gizli bilgisi, sadece ham karmaşıklıktan ibaret değildir. Ayrıca onu nerede kullandığınız ve ne sıklıkla yazmanız gerektiğiyle de ilgilidir. Ayrıca bir parola yöneticisinin kullanılıp kullanılmadığına ve bu gizli bilginin uzak bir hesabı mı koruduğuna yoksa yalnızca yerel bir cihazın kilidini mi açtığına bağlıdır.

Sitenin tek bir mod yerine üç mod sunmasının nedeni budur. Rastgele, Akılda Kalıcı ve PIN, kozmetik seçimler değildir. Temel hedefi aynı tutarken farklı zorluk noktalarını çözerler: eski ve zayıf bir kimlik bilgisini yeniden kullanmak yerine benzersiz bir şey oluşturmak.

Ne zaman rastgele parola en güçlü varsayılandır?

Bir yöneticide kaydedeceğiniz girişler için en iyisi

Çoğu web sitesi ve uygulama hesabı için rastgele bir parola hala en güçlü varsayılandır. Tahmin edilmesi zordur, benzersiz hale getirilmesi kolaydır ve düzgün bir şekilde saklarsanız hafızanıza güvenmenize gerek kalmaz.

Bu, mevcut standartlara uygundur. NIST SP 800-63B, tek faktörlü kimlik doğrulama gizli bilgisi olarak kullanılan parolaların en az 15 karakter uzunluğunda olması gerektiğini belirtir. Bir oluşturucunun kayıtlı girişler için bu kadar kullanışlı olmasının bir nedeni de budur: elle oluşturmadan uzun ve benzersiz dizeler oluşturmayı kolaylaştırır.

Rastgele dizilerin değerden çok zorluk yarattığı durumlar

Rastgele dizeler; telefon, tablet, TV kumandası veya diğer kullanışsız giriş yüzeylerinde sık sık yazmanız gerektiğinde daha az kullanışlı hale gelir. Bu gibi durumlarda, teorik olarak en güçlü olan dize, insanları parolaları basit notlara kaydetmek veya daha sonra daha kolay olanları yeniden kullanmak gibi güvenli olmayan davranışlara itebilir.

Bu, rastgele parolaların yanlış olduğu anlamına gelmez. Sadece giriş işlemi bir parola yöneticisi veya bunları saklamanın ve otomatik doldurmanın başka bir güvenilir yolu ile eşleştirildiğinde en iyi şekilde çalıştıkları anlamına gelir.

Ne zaman parola ifadesi daha iyi bir takastır?

Sık sık yazmanız gereken girişler için iyi

Akılda kalıcı bir parola ifadesi, düzenli olarak gireceğiniz ve her zaman otomatik doldurma özelliğine güvenemeyeceğiniz bir gizli bilgiye ihtiyaç duyduğunuzda daha iyi bir takas olabilir. Birbiriyle ilişkisiz kelimelerden oluşan uzun bir ifade genellikle yazması daha kolaydır ve yanlış yere yazılması daha az caziptir.

NIST burada da daha uzun, daha esnek gizli bilgileri destekler. Aynı NIST kılavuzu, doğrulayıcıların tüm yazdırılabilir ASCII karakterlerini ve boşluk karakterini kabul etmesi gerektiğini belirtir. Ayrıca, en az 64 karakterlik bir maksimum uzunluğa izin vermeleri gerektiğini söyler. Bu durum, kullanıcıları kısa ve hatırlanması zor dizelere zorlamak yerine, uzun parola ifadeleri için alan yaratır.

Parola ifadelerinin hala fazladan dikkat gerektirdiği durumlar

Bir parola ifadesi, sadece kelimelerden oluştuğu için otomatik olarak güçlü olmaz. Yine de yeterince uzun, yeterince alışılmadık ve o hesaba özgü olması gerekir. Başka bir yerde kullandığınız ünlü bir alıntı, şarkı sözü veya ifade, gerçekten yeni bir gizli bilginin iyi bir yedeği değildir.

Sitenin Akılda Kalıcı modu burada devreye girer. Kişisel kalıplara, yeniden kullanılan favori ifadelere veya tahmin edilebilir değişikliklere geri dönmeden, hatırlanması daha kolay bir şey oluşturmanız için size bir yol sunar.

PIN bir web sitesinde değil, cihazda ne zaman kullanılmalı?

Yerel cihaz kilit açma bağlamları için kullanışlı

Sayısal bir PIN, deneme sınırlamaları olan telefonlar veya tabletler gibi yerel kilit açma bağlamlarına uyar. Bu, kısa bir sayısal gizli bilgiyi çevrimiçi bir hesap için ana parola olarak kullanmaktan çok farklıdır.

NIST bu sınırı net bir şekilde çizer. Aktivasyon gizli bilgisi kılavuzunda NIST, yerel cihaz PIN benzeri gizli bilgilerin en az 4 karakter uzunluğunda olması gerektiğini belirtir. Ayrıca en az 6 karakter uzunluğunda olmaları gerektiğini de söyler. Bu, cihaz kilidi açma düşüncesi için yararlı bir ölçüttür; gerçek bir hesap parolasını kısa bir PIN ile değiştirmek için bir neden değildir.

PIN neden güçlü bir hesap parolasının yerini almamalıdır?

Bir web sitesi parolası genellikle kimlik bilgisi doldurma (credential stuffing), parola yeniden kullanma saldırıları ve daha geniş çaplı veri ihlallerine maruz kalabilecek uzak bir hesabı korur. Kısa bir sayısal PIN, bu bağlamda tam bir paroladan veya parola ifadesinden tahmin edilmesi çok daha kolay ve çok daha az esnektir.

Sitenin PIN modunun evrensel bir cevap değil, özel bir seçenek olarak ele alınmasının nedeni budur. Belirli yerel kilit açma ihtiyaçlarına uyar. E-posta, iş araçları, bankacılık veya diğer yüksek değerli girişler için güçlü bir hesap gizli bilgisinin yerini almaz.

Ana sayfada doğru mod nasıl hızlıca seçilir?

Oluştur'a tıklamadan önce modu giriş türüyle eşleştirin

Hızlı bir karar kuralı yardımcı olur. Gizli bilgi normal bir çevrimiçi hesap içinse ve onu bir yöneticide saklayacaksanız, Rastgele'yi seçin. Sık sık yazmanız gerekiyorsa ve insan dostu bir şeye ihtiyacınız varsa, Akılda Kalıcı'yı seçin. Gizli bilgi yerel bir cihaz kilit açma bağlamı içinse, PIN'i seçin.

Bu, kararı dikkatsizleştirmeden basitleştirir. En sevdiğiniz formatı seçmiyorsunuz. Tam olarak o iş için en az riskli olan formatı seçiyorsunuz.

Kopyalayın, saklayın ve kısa vadeli yeniden kullanımdan kaçının

Oluşturma sadece ilk adımdır. Depolama ve yeniden kullanım alışkanlıkları sonrasında en az o kadar önemlidir. Bir parola güçlü olsa bile birkaç sitede yeniden kullanılıyorsa, tek bir ihlal yine de hasarı yayabilir.

FTC'nin parola kılavuzu, her hesap için uzun ve benzersiz parolalar kullanılmasını önerir çünkü parola yeniden kullanımı, bir site ihlal edildiğinde birden fazla hesabı açığa çıkarabilir. En güvenli iş akışının sadece oluşturup kopyalamaktan ibaret olmamasının nedeni budur. İş akışı; oluşturmak, doğru şekilde saklamak ve yeni bir gizli bilgi ile bir sonraki hesaba geçmekten oluşur.

Yeni bir gizli bilgi oluşturmadan önce ne yapmalı?

Giriş bağlamını adlandırarak başlayın. Bu uzak bir hesap mı, sık girilen bir giriş mi yoksa yerel bir cihaz kilidi mi? Bu cevap netleştiğinde, doğru mod genellikle bariz hale gelir.

Ardından bir kez oluşturun, dikkatlice kopyalayın ve doğru yere kaydedin. Amaç, mümkün olan en korkutucu dizeyi oluşturmak değildir. Amaç, risk için yeterince güçlü ve daha sonra atlatmaya çalışmayacağınız kadar kullanılabilir bir gizli bilgi oluşturmaktır.

Rastgele, Akılda Kalıcı ve PIN modlarını tek bir yerde bulundurmanın gerçek avantajı budur. Her güvenlik durumuna tek bir formatı zorlamak yerine, oluşturucu modunu sorunla eşleştirebilirsiniz.