yeni çalışan alırken yapılan parola hatası sizi riske sokuyor

Posted on 15 Haz 2026

arkadaşlar, bugün teknik bir zafiyet değil de daha çok operasyonel bir güvenlik açığından bahsedeceğim. yeni çalışan alımlarında yapılan klasik bir hata var ve bu hata ciddi güvenlik riskleri yaratıyor.

sorun ne peki

yeni bir eleman işe başladığında it ekipleri genelde aceleyle “geçici” bir parola oluşturup mail veya sms ile gönderiyorlar. “ilk gün parolası” denen şey bu işte. mantık güzel gibi duruyor ama pratikte şöyle oluyor:

  • bu parolalar hiç değiştirilmiyor, “geçici” ama kalıcı oluyor
  • mail veya sms ile gönderildiği için düz metin olarak kayıtlarda duruyor
  • aynı parola birden fazla hesap için kullanılıyor
  • yeni çalışan parolayı not defterine yazıyor, masasında bırakıyor

spoiler: bu parolalar çoğu zaman “Sirket123!” falan gibi tahmin edilebilir şeyler oluyor.

neden bu kadar riskli

şöyle düşünün, yeni başlayan biri mail kutusunda veya sms’inde düz metin parola saklıyor. o mail hesabı ele geçirilirse (ki phishing ile kolay), saldırgan direkt şirket sistemlerine giriş yapabiliyor.

ayrıca şu senaryolar da var:

  • parola paylaşımı: “abi parolamı unuttum” deyince arkadaşı söylüyor çünkü herkesin parolası aynı pattern’de
  • çoklu hesap riski: aynı parola vpn, mail, erp sistemlerinde kullanılıyor. biri düşerse hepsi düşüyor
  • değiştirme zorunluluğu yok: “ilk girişte değiştir” seçeneği aktif değilse, o parola aylarca kullanılıyor
  • iz bırakma: mail sunucuları, sms operatörleri, log dosyaları… parola her yerde düz metin olarak duruyor

etkilenen ortamlar

SistemRisk Durumu
Yeni çalışan onboarding süreçleri🔴 Yüksek risk
Mail ile parola gönderimi🔴 Yüksek risk
SMS ile parola gönderimi🔴 Yüksek risk
Tek kullanımlık parola sistemi olmayanlar🟠 Orta risk
Parola değiştirme zorunluluğu olmayanlar🟠 Orta risk

ne yapmalısınız

agalar, şimdi işe koyulun ve şu işleri yapın:

1. tek kullanımlık parola sistemi kurun

# örnek: linux sistemlerde pwgen ile rastgele parola üretimi
pwgen -s 16 1

# veya openssl ile
openssl rand -base64 16

bu parolaları sadece ilk giriş için kullanın ve ilk girişte değiştirme zorunluluğu koyun.

2. parola paylaşımını güvenli yapın

mail veya sms yerine şunları kullanın:

  • parola yöneticisi: bitwarden, 1password gibi kurumsal çözümler. paylaşımlı vault oluşturun, yeni çalışan ilk girişte erişsin
  • tek seferlik link: privatebin, onetimesecret gibi araçlar. link bir kez açılınca parola yok oluyor
  • mfa ile korumalı portal: web tabanlı güvenli portal, mfa ile giriş yapınca parolayı görsün

örnek privatebin kullanımı:

# kendi sunucunuzda privatebin kurabilirsiniz
docker run -d --restart="always" \
  --name privatebin \
  -p 8080:8080 \
  privatebin/nginx-fpm-alpine

3. ilk giriş politikası

active directory veya ldap kullanıyorsanız:

# powershell ile AD'de kullanıcı oluştururken
New-ADUser -Name "Ahmet Yılmaz" -ChangePasswordAtLogon $true

# mevcut kullanıcılar için
Set-ADUser -Identity "ahmet.yilmaz" -ChangePasswordAtLogon $true

linux sistemlerde:

# kullanıcı oluştururken parola süresini 0 yapın
useradd -m ahmet -e $(date -d "+1 day" +%Y-%m-%d)
passwd -e ahmet  # ilk girişte değiştirme zorunluluğu

4. parola karmaşıklığı politikası

şirket içinde şu kuralları uygulayın:

  • minimum 14 karakter (16 daha iyi)
  • büyük-küçük harf, rakam, özel karakter karışımı
  • şirket adı, kullanıcı adı içermemeli
  • yaygın parolalar blacklist’te olmalı (Password123, Sifre2024 vs)

5. mfa zorunlu kılın

edit: parolalar ne kadar güçlü olursa olsun, mfa olmadan tam güvenlik yok.

# google authenticator ile linux ssh'da mfa
sudo apt-get install libpam-google-authenticator
google-authenticator

geçici çözüm (hemen uygulayamayanlar için)

eğer altyapınız hazır değilse şimdilik şunları yapın:

  1. mail yerine telefon: parolayı mail yerine telefon ile söyleyin (evet, eski usul)
  2. kısa ömürlü: parolayı max 24 saat geçerli yapın, sonra expire etsin
  3. audit log: kim ne zaman parola aldı, değiştirdi mi, kayıt altına alın
  4. farkındalık eğitimi: yeni çalışanlara “parolanızı kimseyle paylaşmayın, not defterine yazmayın” deyin

gerçek hayattan örnek

geçen sene bir şirkette pentest yaptık. yeni başlayan bir çalışanın mail kutusunda “hoşgeldin, parolanız: Sirket2024!” diye mail vardı. aynı parolayı vpn, mail, erp sistemlerinde kullanmış. mail hesabını phishing ile ele geçirdik (test ortamında tabii), 10 dakikada tüm sistemlere girdik.

spoiler: şirket o gün tüm onboarding sürecini değiştirdi.

kontrol listesi

yapmanız gerekenler:

  • mevcut onboarding sürecinizi gözden geçirin
  • mail/sms ile parola gönderimini durdurun
  • tek kullanımlık parola sistemi kurun
  • ilk giriş parola değiştirme zorunluluğu ekleyin
  • mfa’yı aktif edin (en azından vpn ve mail için)
  • parola politikasını güncelleyin
  • yeni çalışanlara güvenlik eğitimi verin
  • eski “geçici” parolaları sıfırlayın

kaynaklar

arkadaşlar, bu konu çok basit gibi görünüyor ama inanın en çok istismar edilen noktalardan biri. “geçici” parola diye bir şey yok, ya güvenli parola var ya da açık kapı var.

yeni eleman alırken acele etmeyin, 5 dakika ayırıp düzgün bir onboarding süreci kurun. yoksa bir gün o “geçici” parola yüzünden başınız ağrır.

önce test ortamında deneyin, sonra production’a alın. yedek almayı unutmayın.

Bu içerik yapay zeka tarafından oluşturulmuştur.