Parolalar nasıl güvenli bir şekilde depolanmalı ve işlenmelidir?

Question

Accepted Answer

Parolalar güvenli bir şekilde depolanmalıdır — **hiçbir zaman düz metin olarak değil**, ancak güçlü, yavaş, tuzlanmış bir parola-karma algoritması (bcrypt, Argon2, scrypt) ile **karma hale getirilmelidir**. Uygun parola işleme kritik öneme sahiptir çünkü parola ihlalleri son derece zararlı ve yaygındır.

## Hiçbir zaman düz metin depolamayın; doğru şekilde karma yapın

```text
❌ NEVER store passwords in plaintext (a breach exposes all passwords directly)
❌ Don't use fast/general hashes (MD5, SHA-256) alone — too fast → easily brute-forced
✅ HASH with a dedicated PASSWORD HASHING algorithm: BCRYPT, ARGON2, or scrypt:
  → SLOW by design (resistant to brute-force/GPU cracking)
  → SALTED (a unique random salt per password) → prevents rainbow-table attacks and
    identical passwords hashing the same
```

```js
// hashing with bcrypt (handles salting automatically)
const hash = await bcrypt.hash(password, 12);   // store the hash (with salt + cost)
// verifying at login
const valid = await bcrypt.compare(inputPassword, storedHash);   // compare securely
```

## Bu algoritmalar neden

```text
SALT → unique random value per password → identical passwords get DIFFERENT hashes;
  defeats precomputed (rainbow table) attacks
SLOW (work factor) → deliberately expensive to compute → brute-forcing millions of
  guesses becomes impractical (tunable cost factor as hardware improves)
→ bcrypt/Argon2/scrypt are designed for passwords; general hashes (SHA) are NOT.
```

## Diğer parola uygulamaları

```text
✓ Enforce reasonable strength (length over complexity); check against breached-password lists
✓ MULTI-FACTOR authentication (MFA) → strong protection even if a password leaks
✓ HTTPS for transmission; rate-limit / lock out brute-force login attempts
✓ Secure password RESET (time-limited tokens); never email passwords; never log them
```

## Neden önemli

Güvenli parola depolama ve işlemeyi anlamak son derece önemlidir çünkü **parola ihlalleri son derece yaygın ve zararlıdır**, ve uygun olmayan parola depolama ciddi, sık bir güvenlik açığıdır, bu nedenle bu, bilinmesi zorunlu güvenlik bilgisidir.

Temel kurallar kritik öneme sahiptir: **parolaları hiçbir zaman düz metin olarak depolamayın** (bir ihlal her kullanıcının parolasını doğrudan ortaya çıkardığı için — felaket niteliğinde), ve **hızlı genel karma algoritmaları kullanmayın** (MD5, SHA-256) çünkü bunlar çok hızlı ve kolayca kütüphane saldırısına uğrayabilir.

Bunun yerine, **özel parola-karma algoritmaları ile karma yapın** (bcrypt, Argon2, scrypt) bu algoritmaları **tasarım gereği yavaş** (kütüphane saldırısına ve GPU kırılmasına karşı dirençli) ve **tuzlanmış** (her parola için benzersiz rastgele tuz, gökkuşağı tablo saldırılarını önler ve aynı parolaların farklı karmaları olmasını sağlar).

**Bu algoritmaları neden** anlamak — tuza alma (önceden hesaplanmış saldırıları yenmek, aynı parolaları farklı şekilde karma yapmak) ve yavaşlık/çalışma faktörü (toplu kütüphane saldırısını pratik dışı yapmak, donanım iyileştikçe ayarlanabilir maliyet) — doğru yaklaşımı yanlış uygulamalara (düz metin, hızlı karma, tuz yok) karşı açıklar.

**Diğer uygulamaları** anlamak — makul kuvveti uygulamak (karmaşıklıktan ziyade uzunluk, ihlal edilen parola listelerini kontrol etmek), **MFA** (bir parola sızdırılsa bile güçlü koruma), iletim için HTTPS, giriş denemelerine oran sınırlaması, güvenli parola sıfırlaması (zaman sınırı tokenlari), ve hiçbir zaman parolaları kaydetmemek veya e-posta ile göndermemek — kapsamlı parola güvenliğini yansıtır.

Parola işleme, hataların (düz metin depolama, zayıf karma) doğrudan büyük ihlallere neden olduğu, uygun işlemenin (güçlü tuzlanmış yavaş karma) kullanıcıları önemli ölçüde koruduğu yüksek riskli bir alandır.

Parola ihlalleri yaygın ve zararlı olduğu ve uygun olmayan depolama ciddi, sık bir güvenlik açığı olduğu ve güvenli depolamayı (hiçbir zaman düz metin, bcrypt/Argon2 ile güçlü tuzlanmış yavaş karma) ve iyi uygulamaları (MFA, oran sınırlaması) anlamak kullanıcıları korumak için gerekli olduğu için, güvenli parola depolama ve işlemeyi anlamak gerekli, bilinmesi zorunlu güvenlik bilgisidir — uygun olmayan işlemenin neden olduğu felaket niteliğindeki parola ihlallerini önleyen doğru yaklaşımın (özel parola karma, tuza alma, MFA) temel olduğu kritik, yüksek riskli bir alan — herhangi bir geliştirici için kimlik doğrulama ile ilgili temel bilgi.