Password Hashing Nedir 
Parolaları Saklamanın Doğru ve Yanlış Yolları
“Parolayı saklamak değil, onu geri getirilemez kılmak güvenliktir.”
— Ersan Karavelioğlu
Password Hashing Nedir
Password Hashing, kullanıcı parolalarının
geri döndürülemez matematiksel bir fonksiyonla dönüştürülerek saklanmasıdır.
Sistem parolayı
bilmez;
Doğru olup olmadığını
karşılaştırır.
Neden Parolalar Düz Metin Saklanmaz
Veri sızıntısı kaçınılmaz olabilir.
Düz metin parola = anında felaket.
Hash, hasarı sınırlar.
Hash ile Şifreleme Aynı Şey mi
Hayır.
Şifreleme geri çözülebilir
Hash
tek yönlüdür
Parola için hash şarttır
Hash Nasıl Çalışır
Girdi → sabit uzunlukta çıktı
Aynı parola → aynı hash
Küçük değişiklik → tamamen farklı sonuç
Salt Nedir
Salt, her parolaya eklenen rastgele değerdir.
Aynı parolalar bile farklı hash üretir.
Rainbow table’ları boşa çıkarır.
Salt Olmadan Ne Olur
Aynı hash = aynı parola
Toplu kırma çok kolaylaşır
Salt yoksa hash zayıftır
Pepper Nedir
Sunucu tarafında gizli ek değer
Veritabanında tutulmaz
Ek bir savunma katmanıdır
Hızlı Hash Algoritmaları Neden Kötüdür
MD5, SHA-1, SHA-256
Saniyede milyarlarca deneme yapılır
Parola için
çok hızlıdır
Parola İçin Doğru Algoritmalar
bcrypt
Argon2 (önerilen)
scrypt
Yavaş ve ayarlanabilir olmalıdır
“Yavaş” Olmak Neden İyidir
Saldırgan için maliyet artar
Brute force zorlaşır
Güvenlik zaman kazandırır
Work Factor / Cost Nedir
Hash’in ne kadar zor olacağını belirler
Donanım güçlendikçe artırılmalıdır
Ayarlanabilirlik hayattır
Parola Doğrulama Nasıl Yapılır
Girilen parola hash’lenir
Saklanan hash ile karşılaştırılır
Parola
asla geri alınmaz
En Yaygın Yanlışlar
Parolayı loglamak
Hash’i frontend’de almak
Aynı salt’ı herkes için kullanmak
Parola Reset Süreci Nasıl Olmalı
Tek kullanımlık token
Kısa süreli geçerlilik
Eski parola bilinmemelidir
Hash + Rate Limiting
Online brute force
Hash tek başına yetmez
Deneme sayısı sınırlandırılmalıdır
Hash XSS veya SQLi’yi Engeller mi
Hayır
Hash veri sızıntısının etkisini azaltır
Açıkları kapatmaz
“Güçlü Parola” Yeterli mi
Hayır
Güçlü parola + zayıf hash = risk
İkisi birlikte anlamlıdır
En Büyük Yanılgı
“Bizim veriler önemli değil.”
Her parola değerlidir
Tek sızıntı zincirleme etki yaratır
Son Söz Parolayı Bilmemek Güvenliktir
Password Hashing,
sistemin kullanıcıya duyduğu saygıdır.
Parolayı bilmiyorsan, çalamazsın.
Güvenli sistem, en başta
unutmayı seçer.
“Parolayı saklayan değil, ondan vazgeçen güvendedir.”
— Ersan Karavelioğlu
