A. Yapısal ve Matematiksel Güç (Teknik Dayanıklılık)

1. En az 16 karakter uzunlukta olmalı.
   Kısa parolalar (örneğin 8 karakter) AI tabanlı brute-force modelleri tarafından saniyeler içinde tahmin edilebilir.
2. Büyük ve küçük harfleri karıştırın.
   Dil modelleri istatistiksel olarak daha olası harf kombinasyonlarını öngörür; karışık kullanım tahmin olasılığını azaltır.
3. *Rakamlar ve özel karakterler (!, @, #, $, %, &, ) içermeli.
   Modelin tahmin uzayını (search space) üstel olarak genişletir.
4. Sözlükte geçen hiçbir kelimeyi içermemeli.
   AI dil modelleri, sözlük ve kültürel örüntüler üzerinden tahmin yaptığı için, “galatasaray”, “password”, “sevgi” gibi kelimeler risklidir.
5. Yinelenen karakterler veya kalıplardan kaçının.
   Örn. aaaa1111 veya 1234abcd gibi diziler model tarafından “yüksek olasılıklı” olarak algılanır.
6. Tahmin edilmesi zor bir entropi düzeyine sahip olmalı.
   Şifrenin entropisi (bilgi teorisi açısından rastgeleliği) ≥ 80 bit olmalıdır.
7. Her hesap için benzersiz parola kullanın.
   AI, sızdırılmış verilerden hesaplar arası korelasyon kurabilir. Bir hesap çalındığında diğerleri risk altına girer.
8. Şifreyi periyodik olarak değiştirin (örneğin 6 ayda bir).
   Özellikle veri sızıntısı riskinin yüksek olduğu ortamlarda zorunludur.
9. Sızıntı tespiti için ‘Have I Been Pwned’ gibi araçlarla kontrol edin.
   Parolanız sızdırılmış veri tabanlarında geçmişte yer almış mı kontrol edin.
10. İki Aşamalı Doğrulama (2FA/MFA) kullanın.
    Şifre çalınsa bile tek başına işe yaramaz. Özellikle fiziksel veya yazılım tabanlı (TOTP) doğrulama tercih edilmeli.

B. Sosyal Mühendislik ve Davranışsal Direnç (Psikolojik Dayanıklılık)

11. Kişisel bilgi içermemeli.
    Ad, doğum tarihi, telefon, evcil hayvan adı gibi bilgiler sosyal mühendislik ile kolayca öğrenilebilir.
12. Kültürel veya duygusal çağrışımlardan kaçının.
    AI modelleri kültürel veri setleriyle eğitildiğinden, “love123”, “istanbul34”, “allah1” gibi şifreler risklidir.
13. Klavye düzeni tabanlı kalıplardan kaçının.
    qwerty, asdfgh, zxcvbn gibi sıralı karakterler dil modellerinde yüksek olasılıklıdır.
14. Yapay örüntüler kullanın, anlamsız diziler tercih edin.
    “Gk2!tL9*pM7#” gibi bir parola anlamsız görünebilir ama matematiksel olarak daha güçlüdür.
15. Kısa cümle yerine “şifre cümleleri” (passphrase) kullanın.
    Örneğin: Karanlık_Gökyüzü$23Yıldız — uzun ama hatırlanabilir, AI için zor.
16. AI’nin öğrenebileceği popüler kültür verilerinden kaçının.
    Filmler, müzikler, futbol takımları, ünlü isimler gibi ortak bilgi alanları yüksek olasılıklıdır.
17. Şifre ipuçlarınızı hiçbir yerde yazmayın veya paylaşmayın.
    Sosyal mühendislikte genellikle kişi kendi ipucuyla ele verir (örneğin “favori takımım”).
18. Şifre yöneticisi kullanın.
    İnsan hafızası sınırlıdır; güvenli parola üretimi ve saklama için LastPass, Bitwarden veya 1Password gibi araçlar kullanın.
19. Phishing e-postalarına dikkat edin.
    Sahte kimlik doğrulama talepleri (örneğin banka, e-devlet, sosyal medya) üzerinden parolalar ele geçirilebilir.
20. Şifre girilen cihazın güvenli olduğundan emin olun.
    Kötü amaçlı yazılımlar (keylogger) veya sahte giriş formları parola toplar.

C. AI Tabanlı Tehditlere Karşı Direnç

21. AI tahminine karşı anlamsız-semantik şifreler kullanın.
    Dil modeli semantik ilişkileri öğrenir, bu yüzden anlamsız sembol kombinasyonları daha güvenlidir.
22. Yapay zekâ ile oluşturulmuş şifreleri kullanmayın.
    Birçok kişi ChatGPT veya benzeri modellerden şifre ürettirir; bu durumda aynı model başka bir kullanıcıya aynı çıktıyı verebilir.
23. Otomatik tamamlamayı devre dışı bırakın.
    Tarayıcılar veya uygulamalar geçmişe dayalı parola önerileri oluşturabilir; bu öneriler saldırıya açık olabilir.
24. AI tabanlı saldırıları öngören güvenlik testleri uygulayın.
    Kurumsal düzeyde, şifre politikalarını AI brute-force simülasyonları ile test edin.
25. Yapay zekâ destekli davranışsal analizle giriş güvenliği ekleyin.
    Örneğin cihaz, konum, saat farkı, yazma hızı gibi metriklerle kullanıcı davranışını modellemek.

D. Kurumsal ve Çok Katmanlı Güvenlik İlkeleri

26. Kurumsal hesaplarda parola paylaşımını yasaklayın.
    Tek hesap – tek kişi prensibi, izlenebilirliği sağlar.
27. E-posta ve sosyal medya şifrelerini birbirinden ayırın.
    Zincirleme saldırılarda (örneğin e-posta → tüm hesaplar) en sık zayıf halka budur.
28. Şifre sıfırlama yöntemlerini de güvenli hale getirin.
    Güvenlik soruları (“annenizin kızlık soyadı”) sosyal mühendislik ile kolayca bulunabilir.
29. VPN, güvenli ağlar ve anti-malware çözümleri kullanın.
    Güvensiz Wi-Fi ağları üzerinden sniffing veya man-in-the-middle saldırılarıyla parolalar ele geçirilebilir.
30. Kritik sistemlerde donanım tabanlı güvenlik anahtarları (YubiKey vb.) kullanın.
    Parola yerine fiziksel token tabanlı kimlik doğrulama çok daha güvenlidir.

E. İleri Seviye (Yapay Zekâ Çağına Uygun Ek Önlemler)

31. Password entropy checker araçlarıyla parola gücünü ölçün.
    Örneğin zxcvbn (Dropbox tarafından geliştirilen model) insan davranış kalıplarını AI ile analiz eder.
32. AI ve ML ile tahmin edilemeyen rastgelelik sağlayan “Diceware” metodunu kullanın.
    Zar atarak kelimeler seçme tekniği (örneğin: tango-planet-orange-bird).
33. Karma (hash) güvenliği yüksek sistemlerde saklanmasını talep edin.
    SHA-256, bcrypt, scrypt veya Argon2 kullanımı parola sızıntısında kırılma süresini dramatik şekilde uzatır.
34. QR veya NFC tabanlı tek oturumluk girişler tercih edin.
    Şifre paylaşımı yerine cihaz doğrulaması ile kimlik sağlanabilir.
35. Yapay zekâ tarafından üretilmiş sahte sitelere (deepfake phishing) dikkat edin.
    Görsel veya sesli kimlik taklidiyle kullanıcıdan şifre talebi giderek artmaktadır.