🧰 BirAraçtaTüm Araçlar →
Şifre Yayın: 13 Temmuz 2026 8 dk okuma

Güçlü Şifre Nasıl Üretilir ve Saklanır? Entropi, Web Crypto ve parola yöneticisi

"Şifre123!" güçlü görünür ama saniyeler içinde kırılır. Gerçekten güçlü bir şifrenin iki temeli vardır: yeterince uzun olmak ve gerçekten rastgele üretilmek. Bu rehberde entropinin ne olduğunu, kaç bit hedeflemeniz gerektiğini, Math.random'un neden riskli olduğunu ve üretilen şifreyi nasıl güvenle saklayacağınızı kırılma süresi tablosuyla anlatıyoruz.

Güçlü şifre nasıl üretilir?

Kısa cevap Güçlü bir şifre uzun (en az 12–16 karakter) ve çeşitlidir (büyük/küçük harf, rakam, sembol bir arada). En güvenli yöntem, şifreyi kriptografik olarak güvenli bir üreticiyle (crypto.getRandomValues) rastgele oluşturup bir parola yöneticisinde saklamaktır. Böylece hem yüksek entropi elde edilir hem de her hesap için farklı şifre kullanılır.

İnsanların seçtiği şifreler tahmin edilebilir kalıplar içerir: sözlük kelimeleri, doğum tarihleri, klavye dizileri (qwerty), sona eklenen 1!. Saldırganlar tam da bu kalıpları hedefleyen "sözlük" ve "kural tabanlı" saldırılar kullanır. Bu yüzden en iyi şifre, bir insanın uyduramayacağı, makine tarafından rastgele üretilmiş şifredir. DevAraç şifre üreticisi tam olarak bunu yapar ve sonucun tahmini gücünü bit cinsinden gösterir.

Entropi nedir, kaç bit gerekir?

Kısa cevap Entropi, bir şifrenin tahmin edilemezliğini bit cinsinden ölçer ve şu formülle bulunur: uzunluk × log₂(alfabe boyutu). 16 karakterli, 94 sembollük bir şifre yaklaşık 105 bit entropiye sahiptir. Genel öneri en az 80 bit; kritik hesaplar için 100 bit ve üzeridir.

Entropi, olası şifre sayısının bir ölçüsüdür. Her ek bit, kaba kuvvet saldırganının denemesi gereken kombinasyon sayısını ikiye katlar. 40 bitlik bir şifre modern donanımla saniyeler içinde denenebilirken, 80 bitlik bir şifre için bu süre pratikte yüzyıllara çıkar. Aşağıdaki tablo farklı ayarların entropisini gösterir:

Şifre uzunluğu / karakter setine göre yaklaşık entropi
UzunlukKarakter setiAlfabe≈ Entropi
8küçük harf26~38 bit (zayıf)
12harf + rakam62~71 bit (orta)
16harf + rakam + sembol94~105 bit (çok güçlü)
20harf + rakam + sembol94~131 bit (çok güçlü)

Entropi = uzunluk × log₂(alfabe). Değerler, şifrenin gerçekten rastgele üretildiği varsayımıyla geçerlidir; insanın seçtiği "karmaşık görünen" şifrelerde gerçek entropi çok daha düşüktür.

Uzunluk mu, karmaşıklık mı daha önemli?

Kısa cevap Genellikle uzunluk. Şifre uzadıkça kombinasyon sayısı üstel artar; her eklenen karakter entropiyi belirgin büyütür. Yalnızca sembol eklemek alfabeyi genişletir ama uzunluk kadar etkili değildir. En iyisi ikisini birleştirmek: uzun ve çeşitli bir şifre.

Bir örnek karşılaştırma: 8 karakterli, dört karakter setini de kullanan bir şifrenin entropisi ~52 bittir. Buna karşılık 16 karakterli, yalnızca küçük harf içeren bir şifre ~75 bit verir — yani daha uzun ama daha "basit" şifre, kısa ama "karmaşık" olandan daha güçlüdür. Bu yüzden NIST'in güncel parola rehberi (SP 800-63B) zorunlu karmaşıklık kurallarından çok uzunluğu ve rastgeleliği öne çıkarır.

Pratik hedef Günlük hesaplar için 16 karakter, dört karakter seti açık; kritik hesaplar (e-posta, banka, parola yöneticisi ana parolası) için 20+ karakter hedefleyin. DevAraç şifre üreticisinde uzunluğu 16'ya çektiğinizde çıktı zaten "çok güçlü" (~80 bit üzeri) etiketini alır.

Neden Math.random değil, Web Crypto?

Kısa cevap Math.random() kriptografik olarak güvenli değildir; ürettiği dizi tahmin edilebilir olabilir. Şifre, anahtar veya token gibi güvenlik değerlerinde bu ciddi bir risktir. Bunun yerine crypto.getRandomValues kullanılmalıdır; bu fonksiyon işletim sisteminin güvenli rastgelelik kaynağından beslenir.

Math.random() performans için tasarlanmış bir sözde-rastgele üreticidir (PRNG). İç durumu, yeterli çıktı gözlemleyen bir saldırgan tarafından geri hesaplanabilir; bu da sonraki "rastgele" değerlerin tahmin edilmesine yol açar. Oyunlar için sorun değildir, ama şifre için kabul edilemez.

Yaygın hata: modulo bias Rastgele bir baytı doğrudan % alfabe_boyutu ile karaktere çevirmek, bazı karakterlerin diğerlerinden daha sık seçilmesine yol açar (modulo bias). Bu, şifrenin gerçek entropisini düşürür. DevAraç üreticisi, aralık dışındaki baytları eleyerek (rejection sampling) düzgün dağılım sağlar ve her seçili karakter setinden en az bir karakter garantiler.

DevAraç şifre üreticisi bunun yerine tarayıcıya yerleşik crypto.getRandomValues kullanır, modulo bias'ı önler ve sonucu kripto-rastgele biçimde karıştırır. Ürettiği şifre yalnızca sizin tarayıcınızda kalır; hiçbir yere gönderilmez. Aynı Web Crypto altyapısı, sitedeki UUID üreticisi ve SHA-256 hash aracı için de kullanılır.

Şifreler nasıl güvenle saklanır?

Kısa cevap Kullanıcı olarak en iyi yöntem bir parola yöneticisi kullanmak; her hesap için benzersiz, rastgele şifre üretip tek bir güçlü ana parolayla korumaktır. Geliştirici olarak sunucuda parola saklarken düz metin veya basit hash yerine salt'lı ve yavaş algoritmalar (bcrypt, scrypt, Argon2) kullanılmalıdır.

Kullanıcı tarafı: parola yöneticisi

En güçlü şifre bile tek bir yerde saklanmıyorsa ya unutulur ya da zayıf bir yere not edilir. Çözüm bir parola yöneticisidir: üretilen rastgele şifreleri şifreli bir kasada tutar, siz yalnızca tek bir ana parolayı hatırlarsınız. Böylece her hesap için farklı, uzun ve rastgele şifre kullanmak zahmetsiz hale gelir — ki şifre tekrar kullanımı, veri sızıntılarında en büyük risktir.

Geliştirici tarafı: hash'leme

Bir sistem kullanıcı parolalarını saklıyorsa, bunları asla düz metin tutmamalıdır. Ayrıca tek başına SHA-256 gibi hızlı bir hash de yeterli değildir; çünkü saldırganlar saniyede milyarlarca deneme yapabilir. Doğru yaklaşım şudur:

  • Salt: Her parolaya benzersiz rastgele bir değer eklemek, aynı parolaların aynı özeti almasını ve "rainbow table" saldırılarını önler.
  • Yavaş algoritma: bcrypt, scrypt veya Argon2 kasıtlı olarak yavaştır; bu da kaba kuvvet denemelerini pahalı hale getirir.
  • Aktarım güvenliği: Parola her zaman TLS/HTTPS üzerinden gönderilmelidir.
Not DevAraç'ın Hash aracı genel amaçlı bütünlük ve parmak izi kontrolü içindir; parola saklama için tek başına yeterli değildir. Parola için salt + yavaş algoritma gerektiğini unutmayın. Bu ayrım, Base64 rehberimizdeki "kodlama gizlilik sağlamaz" ilkesinin bir uzantısıdır.

Güçlü şifreni şimdi üret

Uzunluğu ayarla, karakter setlerini seç, üret. Web Crypto ile önyargısız rastgelelik; entropi bit değeri ve güç etiketi anında gösterilir. Tamamen tarayıcıda.

Şifre Üreticiyi Aç →

Adım adım: güçlü şifre üret ve sakla

DevAraç ile güvenli şifre üretme adımları
AdımİşlemAmaç
1Uzunluğu en az 16 yapYüksek entropi tabanı
2Dört karakter setini de açAlfabeyi genişlet
3Şifre üret'e basKripto-rastgele üretim
4Entropi/güç etiketini kontrol et80+ bit doğrula
5Kopyala → parola yöneticisine kaydetBenzersiz, güvenli saklama

Şifreyi ürettikten sonra onu bir yere düz metin olarak not etmek yerine doğrudan parola yöneticinize yapıştırın. Her hesap için bu adımı tekrarlayın; asla aynı şifreyi iki serviste kullanmayın.

Sık sorulan sorular

Kaç karakterlik şifre yeterince güçlüdür?
Rastgele üretilmiş ve dört karakter setini kullanan 16 karakter günlük hesaplar için fazlasıyla güçlüdür (~105 bit). Kritik hesaplar (e-posta, banka, parola yöneticisi ana parolası) için 20+ karakter önerilir. Uzunluk, en etkili tek faktördür.
Rastgele şifreleri nasıl hatırlarım?
Hatırlamanız gerekmez. Bir parola yöneticisi tüm rastgele şifreleri şifreli bir kasada tutar; siz yalnızca tek bir güçlü ana parolayı hatırlarsınız. Bu, her hesap için benzersiz şifre kullanmanın en pratik yoludur.
SHA-256 ile parola saklayabilir miyim?
Tek başına hayır. SHA-256 hızlı bir hash'tir ve saldırganlar saniyede milyarlarca deneme yapabilir. Parola için salt eklemeli ve bcrypt, scrypt veya Argon2 gibi kasıtlı yavaş algoritmalar kullanmalısınız. Düz SHA-256 yalnızca bütünlük/parmak izi kontrolü içindir.
Şifreye simge eklemek onu güçlü yapar mı?
Kısmen. Sembol eklemek alfabeyi genişletir ve entropiyi bir miktar artırır, ama uzunluk kadar etkili değildir. "P@ssw0rd" gibi tahmin edilebilir kalıplar, simge içerse de zayıftır. En iyisi uzun ve gerçekten rastgele bir şifredir.
Üretilen şifre bir yere gönderiliyor mu?
Hayır. DevAraç şifre üreticisi tamamen tarayıcınızda yerel çalışır; rastgelelik crypto.getRandomValues ile cihazınızda üretilir. Şifre hiçbir sunucuya gönderilmez veya kaydedilmez. İnternet bağlantısı kesilse bile araç çalışmaya devam eder.

İlgili rehberler

Metodoloji & kaynaklar. Bu yazıdaki tüm örnekler, DevAraç'ın istemci tarafında çalışan şifre üreticisiyle birebir üretilebilir: rastgelelik tarayıcıya yerleşik crypto.getRandomValues ile sağlanır, modulo bias rejection sampling ile önlenir; harici kütüphane veya sunucu isteği yoktur. Entropi uzunluk × log₂(alfabe) formülüyle hesaplanır. Kaynaklar: NIST SP 800-63B (Digital Identity Guidelines) · W3C Web Cryptography API · OWASP Password Storage Cheat Sheet. Son güncelleme: 13 Temmuz 2026. İçerik bilgilendirme amaçlıdır; kritik/güvenlik işlerinde sonuçları kendi ortamınızda da doğrulayın.