Şifre Sızıntı Kontrolü

Şifre Sızıntısı Nedir?

Şifre sızıntısı (data breach), bir web sitesi veya hizmetin kullanıcı veritabanının saldırganlar tarafından çalınması ve bu verilerin halka açık ortamlarda yayılmasıdır. LinkedIn (700M kullanıcı), Adobe (152M), Yahoo (3 milyar), Dropbox (68M), Türkiye Vatandaşlık Veritabanı (49M), Twitter (200M) gibi büyük olaylarda milyarlarca şifre internete sızdı.

Bu sızıntılar saldırganlara şu olanağı verir: credential stuffing — yani tek bir sızdırılmış e-posta + şifre çiftini bilinen tüm popüler servislerde (Gmail, Microsoft 365, Instagram, banka, Türkiye e-Devlet vb.) otomatik denerler. Aynı şifreyi birden fazla yerde kullanan kullanıcıların hesapları toplu olarak ele geçirilir. Bu yüzden her hesap için benzersiz şifre kullanmak şart.

Have I Been Pwned (HIBP) Nedir?

Have I Been Pwned, güvenlik araştırmacısı Troy Hunt'ın yönettiği ücretsiz, hayır amaçlı bir hizmettir. 700+ büyük veri sızıntısından elde edilmiş 13 milyardan fazla benzersiz şifre hash'i içerir. Mozilla Firefox'un "Firefox Monitor" özelliği, 1Password ve Bitwarden gibi şifre yöneticileri, hatta İngiliz hükümetinin GOV.UK Notify servisi HIBP API'sini kullanır.

K-Anonymity: Şifreniz Nasıl Güvenle Kontrol Edilir?

HIBP API, şifreniz veya tam SHA-1 hash'i sunucuya gönderilmesin diye k-anonymity adı verilen bir yöntem kullanır:

1. Tarayıcınız şifrenin SHA-1 hash'ini hesaplar (örnek: 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8 — "password" kelimesinin hash'i).
2. Sadece bu hash'in ilk 5 karakteri (örnek: 5BAA6) HIBP API'sine gönderilir.
3. API, bu 5 karakterle başlayan tüm hash'lerin (~500-1000 hash) listesini döndürür: 1E4C9B...:9659365 formatında.
4. Tarayıcınız bu listede tam hash'inizin son kısmını arar; varsa "şifreniz X kez sızdırılmış" der.

Sonuç: API sunucusu hangi şifreyi sorduğunuzu öğrenemez; sadece "5 karakterle başlayan bir şey" sorduğunuzu bilir, ki bu kümede 800+ olasılık var. Cloudflare ve Mozilla, kendi şifre kontrol araçlarında aynı yöntemi kullanır.

Şifre Sızdırılmışsa Ne Yapmalısınız?

1. Bu şifreyi kullandığınız HER hesapta hemen değiştirin. En kritik olanlardan başlayın: ana e-posta hesabı (Gmail, Outlook), banka, e-Devlet, Microsoft 365 iş hesabı, sosyal medya.
2. Yeni şifreniz benzersiz olsun. Aynı şifreyi iki farklı yerde kullanmayın — bir sızıntı diğerini açar.
3. Şifre yöneticisi kurun. 1Password, Bitwarden, Microsoft Authenticator + Edge ile her hesap için 16+ karakterlik benzersiz şifreler üretip saklayın.
4. MFA'yı her yerde açın. Şifre çalınsa bile MFA olmadan giriş yapılamaz. SMS yerine Microsoft Authenticator, Google Authenticator veya hardware key (YubiKey) kullanın.
5. Hesap aktivitelerini kontrol edin. Gmail, Microsoft 365, Facebook gibi servislerin "son giriş geçmişi" sayfasında bilmediğiniz IP/lokasyon var mı bakın.

Microsoft 365 Ortamında Kurumsal Şifre Güvenliği

Security Defaults — Ücretsiz, herkese açık

Microsoft 365'in HER planında ücretsiz olarak gelir. Admin merkezi → Properties → Manage Security Defaults → "Enable" — tek tıkla MFA tüm kullanıcılar için zorunlu hale gelir, eski legacy auth protokolleri kapatılır. 2026 itibarıyla yeni kiracılarda varsayılan açıktır.

Conditional Access — Risk Bazlı Erişim

Microsoft 365 Business Premium, E3, E5 planlarında dahildir. Granular politikalar oluşturmanızı sağlar:

• "Türkiye dışından giriş varsa MFA zorunlu"
• "Cihaz Intune'da kayıtlı değilse erişim ret"
• "Risk Level: High kullanıcılar için 24 saatte bir şifre yenileme"
• "Sensitivity Label içeren dosyalara sadece domain-joined cihazlardan erişim"

Passwordless — Şifresiz Giriş

2024+ Microsoft önerisi: şifreyi tamamen kaldırın. Microsoft Authenticator phone sign-in, Windows Hello for Business (parmak izi/yüz tanıma) veya FIDO2 hardware key (YubiKey) ile şifreden tamamen vazgeçilebilir. Gartner ve Microsoft, kurumsal güvenliğin geleceğini passwordless olarak gösteriyor.

Microsoft 365 Conditional Access ve Passwordless geçiş danışmanlığı için Defender hizmetimize ya da iletişim sayfamıza göz atabilirsiniz.

KVKK Açısından Şifre Sızıntısı Bildirimi

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Madde 12 gereği, kişisel verilerin yetkisiz erişimi (şifre sızıntısı dahil) durumunda KVK Kurulu'nun 2019/10 sayılı kararına göre 72 saat içinde hem KVK Kurumu'na hem etkilenen veri sahiplerine bildirim yapılması zorunludur.

Microsoft 365 Defender for Cloud Apps ve Microsoft Purview, şüpheli erişim ve veri ihlalini otomatik tespit edip uyarı oluşturur. KVKK uyumlu incident response planı kurulumu için bizimle iletişime geçebilirsiniz.