Çeşitli algoritmalarla parola hash'leri oluşturun. MD5, SHA1, SHA256, SHA512 ve daha fazlasını destekler.
Features
- Geniş Algoritma Kütüphanesi: MD5, SHA-1, SHA-2/3 ailesi, bcrypt, scrypt ve Argon2 gibi modern fonksiyonları aynı arayüzde deneyerek farklı güvenlik gereksinimlerine göre hash çıktıları ve performans karakteristiklerini karşılaştırabilirsiniz.
- Salt ve Pepper Rehberi: Hash üretiminden önce her kullanıcıya özel salt ve isteğe bağlı pepper değerleri eklemeniz konusunda rehberlik eder; örnek scenaryolar rainbow table ve sözlük saldırılarına karşı nasıl koruma sağlandığını gösterir.
- Anlık Doğrulama ve Karşılaştırma: Girilen düz metni seçtiğiniz algoritmayla yeniden hesaplayarak mevcut referans hash ile eşleşme durumu raporlanır; çıktı formatını hex veya Base64 olarak hemen değiştirebilirsiniz.
- Yerel ve Güvenli İşleyiş: Tüm hesaplamalar tarayıcınızda gerçekleşir, elde edilen hash değerlerini tek tıkla panoya kopyalayabilir veya CSV/JSON olarak dışa aktararak test otomasyonuna ekleyebilirsiniz.
Usage Guide
- Parolayı veya Mesajı Girin: Hash’lemek istediğiniz parolayı ya da iletinin özetini giriş alanına yazın; isterseniz örnek veriyi yükleyerek algoritmalar arasındaki farkları inceleyin.
- Algoritmayı ve Formatı Seçin: MD5, SHA-256, SHA-512, bcrypt veya Argon2 gibi fonksiyonlar arasından seçim yapın; gerekiyorsa çıktı formatını (hex, Base64) ve maliyet parametrelerini belirleyin.
- Salt/Pepper Değerlerini Uygulayın: Kurum politikanıza uygun benzersiz salt ve isteğe bağlı pepper değerlerini ekleyin; araç uzunluk ve karakter çeşitliliği kontrollerini otomatik olarak gerçekleştirir.
- Hash’i Üretin ve Doğrulayın: Hash’i oluşturun, mevcut bir referans hash ile karşılaştırın ve sonucu panoya kopyalayın ya da dokümantasyonunuza eklemek üzere CSV/JSON formatında dışa aktarın.
Technical Details
Hash Fonksiyonlarının Matematiği
Kriptografik hash fonksiyonları herhangi büyüklükteki girdiyi sabit uzunluklu çıktıya dönüştüren tek yönlü dönüşümlerdir. Merkle–Damgård veya sponge yapısı gibi tasarımlar çarpışma direnci, ön-imaj direnci ve öngörülemezlik sağlar; araç, zayıflamış MD5/SHA-1 fonksiyonlarını yalnızca geriye dönük test için sunarak modern alternatiflerle kıyaslama yapmanıza imkân verir.
Salt, Pepper ve Key Stretching
Rainbow table saldırılarını önlemek için her hash’e rastgele salt eklemek ve uygulama genelinde saklanan pepper değerleri kullanmak kritik önemdedir. Bcrypt, PBKDF2, scrypt ve Argon2 gibi uyarlanabilir fonksiyonlar dahili salt üretimi ve tekrarlama mantığıyla key stretching gerçekleştirerek brute force saldırılarını yavaşlatır.
Uyarlanabilir Algoritmalar ve Parametre Ayarı
Cost parametresi (bcrypt 2^cost, Argon2 bellek/zaman parametreleri) hash hesaplama süresini kontrol eder ve güvenlik-performans dengesini kurmanızı sağlar. Araç farklı parametrelerin işlem süresine etkisini göstererek platformunuza uygun eşikleri belirlemenize yardımcı olur.
Frequently Asked Questions
- Parola saklamak için hangi hash algoritmasını kullanmalıyım?
- Üretim ortamlarında bcrypt, Argon2 veya scrypt gibi uyarlanabilir algoritmalar kullanın; MD5 veya SHA-1 asla kullanmayın. Bu algoritmalar dahili salt desteğine ve brute force saldırılarını yavaşlatan ayarlanabilir çalışma faktörlerine sahiptir. OWASP öncelikli olarak Argon2'yi, ardından scrypt ve bcrypt'i önerir. MD5 veya SHA-256 gibi hızlı algoritmalar modern GPU'larla kolayca kırılabilir.
- Salt nedir ve parola hash'lemede neden gereklidir?
- Salt, hashlemeden önce her parolaya eklenen rastgele veridir (genelde 16+ bayt). Salt olmadan aynı parolalar aynı hash'i üretir ve rainbow table saldırıları mümkün olur. Salt her parolanın hash'ini benzersiz kılar. Kriptografik olarak rastgele, her parola için benzersiz, hash ile birlikte saklanan ve yeterince uzun (128+ bit) olmalıdır. Bcrypt gibi modern algoritmalar salt eklemeyi otomatik olarak yönetir.
- Bir parolayı saklanan hash ile nasıl doğrularım?
- Doğrulama için: 1) Veritabanından hash ve salt verisini alın, 2) Kullanıcının girdiği parolayı aynı algoritma, salt ve parametrelerle hashleyin, 3) Yeni hash'i saklanan hash ile sabit zamanlı karşılaştırma yaparak kıyaslayın (zamanlama saldırılarını önlemek için). Hash'leri asla çözmeye çalışmayın; hash tek yönlüdür. Bcrypt/scrypt/Argon2 için dahili verify fonksiyonlarını kullanın.
- Parolaları tarayıcıda hashlemek güvenli midir?
- Parolaları yalnızca tarayıcıda (istemci tarafında) hashlemek kimlik doğrulama için yeterince güvenli değildir. Sunucu sadece istemci hash'lerini saklarsa, veritabanını ele geçiren saldırganlar bu hash'lerle doğrudan oturum açabilir (pass-the-hash). En iyi uygulama: parolayı HTTPS üzerinden aldıktan sonra sunucuda bcrypt/Argon2 ile hashlemektir. İsteğe bağlı istemci tarafı hashleme ek bir katman sağlayabilir, ancak salt ve uygun çalışma faktörüyle sunucu tarafı hashleme olmazsa olmazdır. Parolaları iletim sırasında korumak için her zaman HTTPS kullanın.
- Hash maliyet parametresini nasıl seçmeliyim?
- Çalışma faktörü kullanıcı girişinde kabul edilebilir gecikme yaratacak şekilde belirlenmelidir. Bcrypt için 10-12 tur çoğu sistemde dengeli sonuç verir; Argon2 için hedefiniz en az 0.5 saniyelik hesaplama süresi yaratacak bellek/zaman parametrelerini seçmektir. Maliyet parametresini düzenli olarak test edin ve donanım güçlendikçe değeri artırın.
Related Documentation
- NIST SP 800-63B - Dijital Kimlik Kılavuzu - Parola oluşturma, saklama ve doğrulama politikaları için güncel NIST önerileri
- OWASP Password Storage Cheat Sheet - Salt yönetimi, key stretching ve algoritma seçimi için pratik güvenlik tavsiyeleri
- RFC 8018 - PKCS #5 / PBKDF2 - PBKDF2 anahtar türetme fonksiyonunun resmi tanımı ve parametreleri
- Argon2 Parola Hashleme Spesifikasyonu - Parola Hashleme Yarışması’nı kazanan Argon2 algoritmasının güvenlik ve performans analizi
- bcrypt Tasarım Dokümanı - bcrypt algoritmasının cost parametresi ve uygulama ayrıntılarını açıklayan teknik makale