KeePass: Şifrelerinizi Cebinizde Bir Kasada Tutmak
Geçen ay yayınladığım "Şifrelerin Krallığı Çöküyor" yazısının ardından epey mesaj aldım. Hepsinin ortak sorusu şuydu: "Tamam, parolalar zayıf — peki şu an ne yapmalıyız?" Passkey çağı henüz tam oturmadı; bankamız, devletimizin hizmetleri, eski hesaplarımız hâlâ klasik parola istiyor. O hâlde bu geçiş döneminde elimizdeki en pratik silaha bakalım: parola yöneticisi. Ve onların babası sayılabilecek bir araca: KeePass.
KeePass'i ilk kez 2003 yılında, Almanya'da Dominik Reichl adlı bir geliştirici yazdı. O dönem internet, çoğumuz için yeni bir gezegendi; her siteye ayrı bir şifre koymak gibi tuhaf bir alışkanlık henüz yerleşmemişti. KeePass, herkesin "123456" yazdığı bir çağda "hadi şu işin köküne inelim" diyerek doğmuş bir programdır. Aradan yirmi yıldan fazla zaman geçti; arayüzü hâlâ aynı sade görünümünde, açık kaynak kodlu, ücretsiz, ve hâlâ siber güvenlik uzmanlarının kahir ekseriyetinin önerdiği bir araç.
Neden bir parola yöneticisi gerekiyor
İnsan beyni rastgele karakter dizilerini ezberlemek için tasarlanmadı. Buna rağmen ortalama bir kullanıcının bugün 80'den fazla çevrimiçi hesabı var. E-posta, banka, sosyal medya, alışveriş siteleri, oyun platformları, abonelikler... Her birine güçlü ve farklı bir parola koymak teorik olarak doğru olan; pratikte ise insanın yapamayacağı bir iştir. Bu yüzden çoğumuz iki yoldan birine sapıyoruz:
Birincisi, aynı parolayı her yerde kullanmak. Bu bir hesabınız ele geçtiğinde, saldırganın elinde diğer onlarcası için de ana anahtar var demektir. Buna credential stuffing deniyor; yani çalınmış parolayı sırayla diğer sitelere deneme. Otomatik araçlarla saniyede binlerce deneme yapılabiliyor.
İkincisi, parolaları bir yere not etmek: tarayıcı, masaüstündeki bir metin dosyası, defter, hatta bilgisayar masasına yapıştırılmış bir post-it. Her biri farklı bir saldırı yüzeyi açıyor. İşte parola yöneticisi tam buraya giriyor: tüm parolalarınızı tek bir şifrelenmiş kasada tutuyor, sadece tek bir ana parola ezberlemenizi istiyor.
Doksan farklı kapının doksan farklı anahtarını taşımak yerine, içinde tüm anahtarların olduğu kilitli bir çantayı taşıyorsunuz. Çanta için tek bir anahtar yetiyor.
KeePass'i diğerlerinden ayıran ne
Bugün piyasada onlarca parola yöneticisi var: 1Password, Bitwarden, Dashlane, LastPass, NordPass... Hepsi iyi ürünler, ancak çoğu bulut tabanlı çalışıyor. Yani parolalarınızın şifrelenmiş kopyası bir şirketin sunucularında duruyor. Bu pratik; her cihazdan erişebilirsiniz. Ama aynı zamanda şirkete bir tür güven yatırımı yapıyorsunuz.
KeePass farklı bir felsefede ilerliyor. Tüm parolalarınız .kdbx uzantılı tek bir dosyada, sizin cihazınızda saklanıyor. İsterseniz bu dosyayı Google Drive'a, Dropbox'a, USB belleğe, hatta e-postanıza kendinize gönderdiğiniz bir ek olarak koyabilirsiniz. Dosya zaten AES-256 ile şifreli; ana parolanız olmadan içine girmek pratikte imkânsız.
Bir başka önemli özellik: KeePass'in kodu açık kaynak. Yani isteyen herkes kodu inceleyebilir, arka kapı olup olmadığını denetleyebilir. Ticari ürünlerde bu mümkün değil — siz şirketin sözüne güvenmek zorundasınız. KeePass'te güveniniz kanıtlanabilir bir gerçeklik.
Kullanımı sandığınızdan basit
İlk açtığınızda KeePass biraz "90'lardan kalmış" bir izlenim verebilir; doğrudur, arayüz modern değildir. Ama temel kullanım şu üç adıma iner:
Birincisi, yeni bir veritabanı oluşturmak. Programa "Yeni Veritabanı Oluştur" deyip dosyayı nereye kaydedeceğinizi seçiyorsunuz. Bilgisayarınızdaki herhangi bir klasör olabilir; ben Documents altında özel bir klasör oluşturmayı tavsiye ediyorum. Sonrasında ana parolayı belirliyorsunuz. Burada uzun, hatırlanabilir ama tahmin edilemez bir cümle seçmek en iyisi. "Köpeğim Karabaş 2008 yazında bahçemize gömdü kemiği" gibi bir cümle, hem ezberlenebilir hem de saldırılara karşı çok güçlüdür.
İkincisi, parola eklemek. Her hesap için bir kayıt oluşturuyorsunuz: site adı, kullanıcı adı, parola, URL. KeePass'in en sevdiğim özelliklerinden biri yerleşik parola üreteci. Yeni bir kayıt oluştururken "şifre üret" düğmesine basıyorsunuz; istediğiniz uzunlukta, istediğiniz karakter setiyle rastgele bir parola çıkarıyor. Siz onu hiç görmeyebilirsiniz bile; sadece ihtiyacınız olduğunda kopyalarsınız.
Üçüncüsü, kullanmak. Bir siteye giriş yaparken KeePass'i açıyorsunuz, ana parolanızı yazıyorsunuz, ilgili kaydı buluyorsunuz, kullanıcı adı ve parolayı tek tıkla kopyalıyorsunuz. Yapıştırdıktan sonra KeePass on saniye içinde panonuzu otomatik temizliyor — kötü niyetli bir programın panonuzdan parolanızı çalmasının önüne geçiyor.
Bir adım ileriye: KeePassXC
Orijinal KeePass, Windows'ta .NET üzerinde çalışıyor ve Mac/Linux'ta biraz çetrefilli olabiliyor. Bu yüzden topluluk bir alternatif geliştirdi: KeePassXC. Aynı .kdbx dosya formatını kullanır, ama Windows, Mac, Linux'ta yerel olarak çalışır; arayüzü modern, tarayıcı eklentisi var, hatta YubiKey gibi donanım anahtarlarını destekliyor.
Telefon için ise iOS'ta Strongbox veya KeePassium, Android'de KeePass2Android gibi uygulamalar var. Hepsi aynı kdbx dosyasını okur. Yani veritabanınızı bir bulut servisine koyarsanız (örneğin sadece kdbx dosyasını Google Drive'da tutarsanız), telefonunuzdan da bilgisayarınızdan da aynı parolalara ulaşabilirsiniz. Bulut sağlayıcısı dosyanın içeriğini göremez; çünkü dosya sizin cihazınızda şifrelenip oraya öyle yüklenmiş.
Bulutta uçuşan parolalar yerine, bulutta uçuşan şifrelenmiş bir kasa. Anahtar her zaman sizde.
Risk noktaları ve dikkat edilmesi gerekenler
Hiçbir araç sihirli değildir, KeePass de değil. Üç temel risk noktasına dikkat etmek gerekiyor.
Ana parolayı unutmak. KeePass'in arka kapısı yok. Ana parolanızı unutursanız tüm parolalarınızı kaybedersiniz. Onlarca uzman bunun için "acil durum kiti" hazırlamayı tavsiye ediyor: ana parolanızı bir kâğıda yazıp güvenli bir yerde (banka kasası, ailedeki birinin evindeki kilitli çekmece) saklamak. Dijital değil, fiziksel olarak.
kdbx dosyasını yedeklememek. Disk arızası, telefon kaybı, virüs... Tek bir dosyada tüm parolalarınız varsa, o dosyayı kaybetmek felakettir. En az iki yerde yedek tutun: bir bulut, bir de fiziksel disk veya USB. KeePass dosyaları zaten şifreli olduğu için yedeklerin de güvenliği için ek bir şey yapmanıza gerek yok.
Cihazınızın kendisinin güvenliği. KeePass dosyanız ne kadar şifreli olursa olsun, cihazınızda bir keylogger varsa ana parolanızı yazdığınız anda saldırgan da onu görür. Bu yüzden parola yöneticisini kullandığınız cihazın temiz tutulması önemli — güncel antivirüs, şüpheli yazılımlardan uzak durmak, sistem güncellemelerini yapmak.
- Bilgisayarınız Windows ise KeePassXC'yi (keepassxc.org) indirin — Mac ve Linux'ta da çalışır.
- Yeni bir veritabanı oluşturun, ana parola olarak uzun ve hatırlanabilir bir cümle belirleyin.
- İlk denemede sadece en kritik 5 hesabınızı ekleyin (e-posta, banka, sosyal medya). Hepsini birden taşımaya çalışmayın, ezilirsiniz.
- kdbx dosyanızı iki ayrı yerde yedekleyin: biri bulut (Drive/Dropbox), biri fiziksel (USB).
- Telefonunuza Strongbox (iOS) veya KeePass2Android kurun, aynı kdbx'i bağlayın.
- Ana parolanızı bir kâğıda yazıp güvenli bir fiziksel yerde saklayın — dijital olarak değil.
Parola yöneticisi kullanmaya başlamak küçük bir alışkanlık değişimi gerektiriyor. İlk hafta biraz tuhaf gelebilir; her giriş için programı açıp parola kopyalamak fazladan bir adım gibi görünür. Ama bir ay içinde fark edersiniz ki artık tek tek hesaplarınızın parolasını hiç hatırlamıyorsunuz — bilmenize de gerek yok. Ana parolanızı biliyorsunuz, gerisi sizin için saklı.
İşte bu rahatlık, parola yöneticisinin asıl hediyesidir. Güvenlik bir yük değil, görünmez bir asistan hâline gelir. Yeter ki ilk adımı atın.