Giriş — Neden hesap güvenliği önceliklidir?

Çevrimiçi hizmetlerde hesap güvenliği, kişisel ve ticari verilerin korunması için temel bir gerekliliktir. Özellikle bakiye, ödeme bilgileri veya ortak erişimi olan affiliate/iş hesapları gibi yüksek riskli hesaplarda güçlü kimlik doğrulama ve düzgün yetkilendirme süreçleri kritik öneme sahiptir. Bu rehberde, parola yönetimi, iki faktörlü doğrulama (MFA) ve yetkilendirme iyi uygulamalarını pratik adımlarla ele alıyoruz.

Temel ilkeler

• Güçlü kimlik doğrulama: Parola tek başına yeterli olmayabilir; ek doğrulama katmanları (MFA) kullanılmalıdır.
• En düşük ayrıcalık ilkesi: Kullanıcılara yalnızca görevlerini yerine getirmek için gerekli yetkiler verilmeli.
• Ayrı hesap kullanımına öncelik: Yönetim ve günlük kullanım için farklı hesaplar tercih edilmeli; API anahtarları için sınırlı yetkiler tanımlanmalı.
• İzleme ve kayıt: Hesap erişim logları düzenli kontrol edilmeli ve şüpheli etkinliklere karşı tetikleyiciler kurulmalı.

Hesap güvenliği için zihniyet

Hesap güvenliği bir defalık iş değil, sürekli bir uygulamadır. Yeni hesaplar oluşturulurken, hesap kurtarma yöntemleri belirlenirken ve personel değişikliklerinde güvenlik adımları tekrarlanmalıdır. Aşağıdaki bölümlerde bu adımların teknik ve operasyonel ayrıntılarını bulacaksınız.

Parola yönetimi iyi uygulamaları

Parolalar hâlâ en yaygın kimlik doğrulama biçimidir; bu yüzden doğru yönetimi önemlidir.

Parola oluşturma ve saklama

• Uzunluk ve yapı: En az 12 karakterli, tercihen anlamlı kelime kombinasyonları (passphrase) veya rastgele karakter dizileri kullanın. Uzunluk tek başına önemlidir; tek bir sayı veya sembolle güvenlik sağlanmaz.
• Tekrarlı kullanımdan kaçının: Aynı parolayı birden fazla hesapta kullanmayın. Hesaplar arasında parola paylaşımı riskleri artırır.
• Parola yöneticisi kullanın: Güvenilir bir parola yöneticisi, benzersiz ve karmaşık parolalar oluşturup saklamayı kolaylaştırır. Yönetici için güçlü bir ana parola ve mümkünse MFA ayarlayın.
• Yazılı saklamadan kaçının: Parolaları düz metin dosyalarında veya paylaşım kanallarında saklamayın. Gerekiyorsa güvenli, şifrelenmiş bir kasa tercih edin.

Parola değiştirme politikaları

Parola değişim sıklığına dair tek bir kural yoktur; rutin periyotlar yerine risk odaklı yaklaşım önerilir:

• Hesapta şüpheli etkinlik tespit edildiğinde derhal parolayı değiştirin.
• Personel ayrılığında veya cihaz kaybında ilgili parolalar güncellenmelidir.
• Periyodik değişiklik gerekiyorsa, bunu makul aralıklarla ve kullanıcılar için yönetilebilir şekilde uygulayın.

Parola yöneticileri: Nasıl ve neden kullanılmalı?

Parola yöneticileri benzersiz parolalar oluşturmayı ve güvenli bir yerde saklamayı kolaylaştırır. Seçim ve kullanım için dikkat edilecek noktalar:

• Yazılımın güvenlik incelemeleri ve sektör itibarı dikkate alınmalı.
• Ana parola güçlü olmalı ve yöneticinin kendisi için MFA etkinleştirilmeli.
• Acil erişim ve kurtarma seçenekleri planlanmalı; kurtarma mekanizmaları güvenli ve kontrol altında olmalı.

İki faktörlü doğrulama (MFA) — seçenekler ve öneriler

MFA, bir hesabın ele geçirilmesini zorlaştırmak için ikinci doğrulama katmanı ekler. Yaygın seçenekler ve kısa değerlendirme:

• Uygulama tabanlı kodlar (TOTP): Akıllı telefon uygulamaları tarafından üretilen zaman tabanlı tek kullanımlık kodlar. Yaygın ve çoğu durumda güçlü bir seçenektir.
• Donanım güvenlik anahtarları (FIDO2/WebAuthn): Fiziksel bir cihaz gerektirir; yüksek güvenlik gerektiren hesaplar için tercih edilir. Cihaza fiziksel erişim gerektiği için bazı saldırı vektörlerine karşı avantaj sunar.
• Push bildirimleri: Oturum açma denemesi sırasında cihaza gönderilen onay istekleri. Kullanımı kolaydır, ancak bildirimleri yanlış onaylamamaya dikkat edilmelidir.
• SMS ile doğrulama: Kullanışlı olsa da, bazı durumlarda daha zayıf kabul edilir; kritik hesaplar için birincil seçenek olarak önerilmez.

Öneri: Kritik hesaplarda (ör. finansal hesaplar, yönetici panelleri, API anahtarları olan hesaplar) uygulama tabanlı kodlar veya donanım anahtarlarını tercih edin. MFA her zaman parola ile birlikte kullanılmalıdır.

Yetkilendirme ve rol yönetimi

Yetkilendirme, kimlik doğrulamanın ardından kullanıcının hangi kaynaklara ve işlemlere erişebileceğini belirler. İyi uygulamalar:

• Rollere dayalı erişim (RBAC): Kullanıcıların rollerine göre hangi izinlere sahip olacağı tanımlanmalı; yönetim izinleri günlük kullanımdan ayrılmalı.
• Minimum yetki: Her kullanıcı yalnızca işini yapmak için gereken en az yetkiye sahip olmalı.
• API anahtarları ve tokenlar: Bu öğeler için kapsam (scope) kısıtlanmalı, kullanım süreleri belirlenmeli ve düzenli olarak döndürülmelidir.
• Geçici erişim: Harici iş ortaklarına veya kısa süreli görevler için geçici erişim sağlayarak kalıcı izinleri sınırlayın.

Hesap erişim logları ve izleme

Hesap erişim logları, anormallikleri tespit etmek için en değerli veri kaynaklarından biridir. Ne izlenmeli ve nasıl yorumlanmalı:

• Başarısız oturum açma denemeleri: Artan başarısız denemeler saldırı göstergesi olabilir; otomatik uyarılar kurun.
• Yeni cihaz veya IP adresleri: Hesabın daha önce kullanılmamış bir cihazdan veya coğrafi konumdan erişilmesi durumunda ek doğrulama isteyin.
• Oturum süreleri ve zaman damgaları: Olağandışı zamanlarda uzun oturumlar şüphe uyandırabilir.
• Erişim kaynakları: API çağrıları, yönetici işlemleri ve ödeme değişiklikleri gibi kritik olaylar ayrı loglanmalı ve hızlıca incelenebilmelidir.

Logları düzenli olarak gözden geçirmek ve kritik olaylar için bildirim/tetikleyici kurmak, olası sorunlara hızlı müdahale imkânı verir.

İhlal şüphinde hızlı müdahale adımları (kontrol listesi)

1. Parolayı hemen değiştirin ve parola yöneticisindeki ilgili girişi güncelleyin.
2. MFA durumunu kontrol edin; gerekirse MFA yöntemlerini yeniden yapılandırın veya ekleyin.
3. Oturum açmış cihazları oturumlardan çıkarın ve aktif API tokenlarını iptal edin.
4. Hesap erişim loglarını inceleyin; şüpheli etkinliklerin tarih ve IP bilgilerini kaydedin.
5. Gerekirse destek ekibiyle iletişime geçin ve hesap kurtarma süreçlerini başlatın.
6. Olayı belgeleyin ve saldırının kaynağını tespit edebiliyorsanız ilgili güvenlik önlemlerini uygulayın (ör. erişim politikalarını sıkılaştırma, parola politikası güncelleme).

Mobil, e-posta ve ortak hesap güvenliği

Çoğu hesap kurtarma süreçleri e-posta veya telefon numarası üzerinden yürür. Bu sebeple:

• Birincil e-posta hesabınızı mümkün olan en yüksek seviyede koruyun (güçlü parola, MFA).
• İş amaçlı ve kişisel hesapları ayrıştırın; kritik hesapların kurtarma yöntemleri sınırlandırılmalı.
• Sahte bağlantılara karşı dikkatli olun; doğrulanmamış kaynaklardan gelen kimlik doğrulama isteklerini onaylamadan işlem yapmayın.

Operatörler ve affiliate ortamı için ek önlemler

• Personel için zorunlu MFA ve düzenli erişim incelemesi uygulayın.
• Affiliate hesaplarında API erişimi gerekiyorsa, anahtarları minimum yetkiyle sınırlandırın ve kullanım sürelerini belirleyin.
• Yeni ortaklara verilecek erişimler için onay süreçleri ve süreli erişim mekanizmaları oluşturun.
• Güncelleme, denetim ve eğitim programlarıyla kullanıcı güvenlik farkındalığını artırın.

Sonuç — Nereden başlamalı?

Başlangıç için önerilen adımlar: 1) Önemli hesaplarınızda güçlü ve benzersiz parolalar kullanın, 2) parola yöneticisi ve MFA etkinleştirin, 3) erişim rollerini gözden geçirip minimum ayrıcalık prensibini uygulayın ve 4) hesap erişim loglarını düzenli olarak izleyin. Bu adımlar, hesap güvenliğinizi kısa sürede anlamlı biçimde iyileştirecektir.

Bu belgede verilen öneriler genel bilgi amaçlıdır; kurumsal ortamlarda uygulamaları organizasyonunuzun risk modeline göre uyarlayın.