Guide 27 Mar 2026 10 dk okuma

Güvenli Rastgele Metin Oluşturma - Kriptografik Rastgelelik Rehberi

Kriptografik olarak güvenli rastgele metinlerin neden önemli olduğunu, CSPRNG'nin nasıl çalıştığını ve güvenli şifreler, API anahtarları, tokenler ve benzersiz kimlikler oluşturmayı öğrenin.

Secure Random String Generation Guide

Rastgele Metinler Neden Önemli?

Rastgele metinler dijital güvenliğin temelini oluşturur. Bir web sitesine her giriş yaptığınızda, bir API'ye bağlandığınızda veya çevrimiçi ödeme yaptığınızda, rastgele metinler verilerinizi güvende tutmak için arka planda çalışır. Birçok kritik biçimde karşımıza çıkarlar:

  • Şifreler: Güçlü bir şifre, esasen yalnızca sizin bildiğiniz rastgele bir metindir. Ne kadar rastgele olursa, tahmin edilmesi veya kırılması o kadar zor olur.
  • API anahtarları: Google Maps, Stripe ve AWS gibi hizmetler, istekleri doğrulamak ve platformlarına erişimi kontrol etmek için rastgele metin API anahtarları kullanır.
  • Oturum tokenları: Bir web sitesine giriş yaptığınızda sunucu, tarayıcı çerezinizde saklanan rastgele bir oturum tokeni oluşturur. Bu token tahmin edilebilirse, bir saldırgan oturumunuzu ele geçirebilir.
  • CSRF tokenları: Web uygulamaları, siteler arası istek sahteciliği saldırılarını önlemek için rastgele tokenler kullanarak form gönderimlerinin meşru kullanıcılardan geldiğinden emin olur.
  • UUID'ler: Evrensel Benzersiz Tanımlayıcılar, veritabanı birincil anahtarları, işlem kimlikleri ve dağıtık sistem tanımlayıcıları olarak kullanılan 128 bitlik rastgele metinlerdir.
  • Şifreleme anahtarları ve tuzlar: Kriptografik işlemler, güvenli olabilmek için gerçekten rastgele anahtarlara ve tuz değerlerine ihtiyaç duyar.

Tüm bunların kritik gereksinimi öngörülemezliktir. Bir saldırgan rastgele metinlerinizi tahmin edebilir veya öngörebilirse, tüm güvenlik modeli çöker.

Rastgele ve Kriptografik Olarak Güvenli Rastgele Arasındaki Fark

Tüm rastgelelik eşit yaratılmamıştır. "Bir oyun için yeterince rastgele" ile "güvenlik için yeterince rastgele" arasında temel bir fark vardır.

Math.random() -- Sözde Rastgele (Güvensiz)

Çoğu programlama dili temel bir rastgele sayı üreteci içerir. JavaScript'te bu Math.random() fonksiyonudur. Çıktı insanlara rastgele görünse de, Sözde Rastgele Sayı Üreteci (PRNG) adı verilen deterministik bir algoritma tarafından üretilir.

Sorun şu: Bir saldırgan PRNG'nin iç durumunu keşfederse (ki bu genellikle yeterli çıktıyı gözlemleyerek mümkündür), gelecekteki tüm "rastgele" değerleri öngörebilir.

Math.random() fonksiyonunu asla şunlar için kullanmayın: Şifreler, tokenler, API anahtarları, oturum kimlikleri, şifreleme anahtarları, nonce'lar, CSRF tokenları veya güvenlikle ilgili herhangi bir değer.

crypto.getRandomValues() -- Kriptografik Olarak Güvenli

Kriptografik Olarak Güvenli Sözde Rastgele Sayı Üreteci (CSPRNG), özellikle güvenlik uygulamaları için tasarlanmıştır. JavaScript'te bu, Web Crypto API aracılığıyla crypto.getRandomValues() ile sağlanır.

  1. Entropi kaynağı: Donanım gürültüsü, kesme zamanlaması, fare hareketleri ve diğer sistem düzeyinde entropi gibi öngörülemeyen fiziksel kaynaklardan beslenir.
  2. Öngörü direnci: Bir saldırgan birçok çıktıyı gözlemlese bile gelecekteki değerleri öngöremez veya geçmiş değerleri yeniden oluşturamaz.

Kod farkı şöyledir:

// INSECURE - Do NOT use for security purposes
var weak = Math.random().toString(36).substring(2);

// SECURE - Cryptographically strong random string
function generateSecureString(length, charset) {
    var result = '';
    var values = new Uint32Array(length);
    crypto.getRandomValues(values);
    for (var i = 0; i < length; i++) {
        result += charset[values[i] % charset.length];
    }
    return result;
}

// Usage
var charset = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()';
var secureString = generateSecureString(32, charset);
console.log(secureString);
// Output: something like "kR9$mX2@pL7#nQ5vW8&jT4*bF6!cY3h"
Rastgele Metin Oluşturucumuz yalnızca crypto.getRandomValues() kullanır. Tüm metin oluşturma tarayıcınızda gerçekleşir -- hiçbir şey sunucuya gönderilmez.

Rastgele Metinlerin Yaygın Kullanım Alanları

1. Şifre Oluşturma

En yaygın kullanım alanı. Güvenli bir şifre en az 12-16 karakter uzunluğunda olmalı, tüm karakter türlerinin bir karışımını kullanmalı ve tamamen rastgele olmalıdır.

2. API Anahtarları ve Erişim Tokenları

API anahtarları genellikle alfanümerik karakterler kullanan 32-64 karakter uzunluğunda olmalıdır. Tüm sistemde benzersiz ve tahmin edilmesi imkansız olmalıdır.

3. Benzersiz Tanımlayıcılar (UUID)

Veritabanı kayıtları, dağıtık sistemler veya dosya adları için küresel olarak benzersiz kimliklere ihtiyaç duyduğunuzda, rastgele metinler merkezi bir otorite gerektirmeden çakışmaları önler.

4. Kupon ve İndirim Kodları

E-ticaret platformları, müşterilerin geçerli kodları tahmin etmesini önlemek için rastgele kupon kodları oluşturur. Kodlar tahmin edilebilir bir kalıp izlerse müşteriler bunları kötüye kullanır.

5. Test Verisi Oluşturma

Geliştiriciler genellikle test veritabanlarını doldurmak, kullanıcı girişini simüle etmek veya uygulamaları stres testine tabi tutmak için rastgele metinlere ihtiyaç duyar.

6. Şifre Hashleme İçin Tuzlar

Şifreleri saklarken, hashleme öncesinde her şifreye benzersiz bir rastgele tuz eklenir. Bu, aynı şifrelerin farklı hash değerleri üretmesini sağlayarak rainbow table saldırılarını engeller.

Karakter Setleri ve Metin Gücü

Bir rastgele metnin gücü iki faktöre bağlıdır: uzunluğu ve karakter seti büyüklüğü. Birlikte, metnin entropisini -- ne kadar öngörülemez olduğunun ölçüsünü -- belirlerler.

Entropi Hesaplama

Entropi bit cinsinden ölçülür ve şu formülle hesaplanır:

Entropi = Uzunluk x log2(Havuz Büyüklüğü)

Farklı karakter setlerinin karşılaştırması:

Character Set Pool Size Entropy per Char 8-char Entropy 16-char Entropy Brute Force (16 chars)
Lowercase only (a-z) 26 4.7 bits 37.6 bits 75.2 bits ~1,200 years
Lower + Upper (a-z, A-Z) 52 5.7 bits 45.6 bits 91.2 bits ~78 million years
Alphanumeric (a-z, A-Z, 0-9) 62 5.95 bits 47.6 bits 95.2 bits ~600 million years
All printable (a-z, A-Z, 0-9, symbols) 94 6.55 bits 52.4 bits 104.8 bits ~Trillions of years
Genel kural: Güvenlik açısından kritik uygulamalar için en az 128 bit entropi hedefleyin. Bu, tam yazdırılabilir ASCII seti ile 20+ karakter veya yalnızca alfanümerik ile 22+ karakter anlamına gelir.

Belirsiz Karakterlerden Kaçınma

Bazı karakterler belirli yazı tiplerinde neredeyse aynı görünür ve bu, kullanıcıların bir metni elle yazması gerektiğinde sorunlara yol açabilir:

  • 0 (sıfır) ve O (büyük O)
  • 1 (bir) ve l (küçük L) ve I (büyük I)
  • 5 (beş) ve S (büyük S)

Rastgele Metin Oluşturucumuz, lisans anahtarları, Wi-Fi şifreleri veya doğrulama kodları gibi kullanıcıların elle yazacağı kodlar için mükemmel olan bu belirsiz karakterleri hariç tutma seçeneği içerir.

Rastgele Metin Oluşturma İçin En İyi Uygulamalar

1. Her Zaman CSPRNG Kullanın

Güvenlikle ilgili metinler için asla Math.random() veya basit zaman damgası tabanlı tohumlar kullanmayın. Her zaman tarayıcıda crypto.getRandomValues() veya Node.js'te crypto.randomBytes() kullanın.

2. Yeterli Uzunluk Kullanın

  • Şifreler: 16+ karakter (tüm karakter türleriyle)
  • API anahtarları: 32-64 karakter (alfanümerik)
  • Oturum tokenları: 32+ karakter
  • Kupon kodları: 8-12 karakter (belirsiz karakterler hariç)

3. Mümkün Olan En Geniş Karakter Setini Kullanın

Daha fazla karakter türü, karakter başına daha yüksek entropi anlamına gelir. Sistem izin verdiğinde büyük harf, küçük harf, sayılar ve sembolleri dahil edin.

4. Rastgele Metinleri Asla Tekrar Kullanmayın

Her şifre, token, anahtar ve tuz benzersiz olmalıdır.

5. Güvenli Şekilde Saklayın

  • Şifreler: Asla düz metin olarak saklamayın. Hashleme için bcrypt, scrypt veya Argon2 kullanın.
  • API anahtarları: Veritabanında hashlenmiş olarak saklayın. Tam anahtarı yalnızca oluşturma anında gösterin.
  • Tokenlar: İletim için HTTPS kullanın. Uygun süre sonu süreleri belirleyin.
  • Şifreleme anahtarları: Özel bir anahtar yönetim sistemi (KMS) kullanın. Kaynak koduna asla gömmeyin.

Rastgele Metin Oluşturucumuzu Kullanma

Ücretsiz Rastgele Metin Oluşturucumuz herhangi bir amaç için kriptografik olarak güvenli metinler oluşturmayı kolaylaştırır:

  1. Uzunluğu ayarlayın: 1 ile 256 karakter arasında metin uzunluğunuzu seçin. Şifreler için 16+, API anahtarları için 32-64 öneriyoruz.
  2. Karakter türlerini seçin: Büyük harfler, küçük harfler, sayılar ve özel karakterleri açıp kapatın. Maksimum entropi için dördünü de etkinleştirin.
  3. Belirsiz karakterleri hariç tutun: Metin elle okunacak veya yazılacaksa bu seçeneği etkinleştirin.
  4. Birden fazla metin oluşturun: Toplu oluşturmaya mı ihtiyacınız var? Aynı anda 100'e kadar metin oluşturmak için miktarı ayarlayın.
  5. Anında kopyalayın: Oluşturulan herhangi bir metni panonuza kopyalamak için kopyala düğmesine tıklayın.
Gizlilik garantisi: Aracımız Web Crypto API kullanarak %100 tarayıcınızda çalışır. Hiçbir metin sunucuya gönderilmez veya saklanmaz.
İlgili araçlar: Şifreye özel özellikler için Şifre Oluşturucu, standart UUID'ler için UUID Oluşturucu ve metinlerinizi hashlemek için Hash Oluşturucu araçlarımıza göz atın.
Güvenli Rastgele Metin Oluşturun

Ücretsiz Rastgele Metin Oluşturucumuzla kriptografik olarak güvenli metinler anında oluşturun. Uzunluk, karakter setleri ve miktarı özelleştirin.

Rastgele Metin Oluşturucuyu Aç