Dünya Parola Günü: Sivil Toplum Örgütleri ve Aktivistler İçin Parola Güvenliği Rehberi

Dünya Parola Günü: Sivil Toplum Örgütleri ve Aktivistler İçin Parola Güvenliği Rehberi

Her yıl Mayıs ayının ilk Perşembesi olarak işaretlenen Dünya Parola Günü, dijital hesaplarımızı koruyan ilk savunma hattının ne kadar zayıf bırakıldığına dikkat çekmek için kuruldu. Türkiye’de ve dünyada sivil toplum örgütleri (STK’lar), bağımsız gazeteciler ve insan hakları savunucuları için bu mesele yalnızca “kişisel hijyen” değil; bağışçı verisinin, gönüllü iletişim listesinin, kampanya stratejilerinin ve bazen de örgüt çalışanlarının fiziksel güvenliğinin doğrudan parçası.

Bu rehberde, hem bireysel aktivistlerin hem de kurumsal STK’ların uygulayabileceği pratik parola güvenliği adımlarını, somut araçları ve güvenilir destek kaynaklarını derliyoruz.

Sivil Toplum için Parola Güvenliği Neden Farklı?

Genel kullanıcının parola güvenliği daha çok dolandırıcılık ve hesap çalınmasına karşı koruma sağlamayı hedeflerken, sivil toplum için tablo daha karmaşık.

Citizen Lab, Access Now ve Electronic Frontier Foundation (EFF) gibi kuruluşların yıllık raporları gösteriyor: aktivistler ve insan hakları savunucuları, devlet destekli aktörlerin, hedefli oltalama (spear phishing) saldırılarının ve hesap ele geçirme girişimlerinin başlıca hedefleri arasında. STK ekiplerinin paylaştığı sosyal medya hesapları, ortak Drive klasörleri ve bağışçı yönetim sistemleri, tek bir zayıf parola nedeniyle aylarca süren bir kampanya çalışmasının ya da yıllarca biriktirilmiş kurumsal hafızanın riske girmesine yol açabilir.

Türkiye bağlamında ek olarak şu gerçekler var:

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında STK’lar veri sorumlusu sayılır ve veri ihlallerinde idari para cezası ile karşılaşabilir.
• Bağışçı, üye, gönüllü ve faydalanıcı bilgileri yüksek hassasiyette veridir.
• Sosyal medya hesaplarının ele geçirilmesi sadece itibarı değil, kampanyaların erişimini ve takipçi tabanını da yok edebilir.

Yani parola güvenliği, sivil toplum çalışmasının operasyonel ve etik sorumluluğunun bir parçası.

Bölüm 1: Bireysel Aktivistler ve STK Çalışanları İçin Parola Güvenliği

1. Parolaları tek bir yerde — ama doğru yerde — tutun

İnsan hafızası 80+ farklı hesabın güçlü, farklı parolalarını taşıyamıyor. Bunun pratik tek çözümü bir parola yöneticisi kullanmak. Tarayıcıya kaydetme, kâğıda yazma veya — en kötüsü — aynı parolayı her yerde kullanma alışkanlığı, dijital güvenlik açığının başlıca kaynağı.

Sivil topluma uygun, ücretsiz veya ücretsiz başlangıçlı seçenekler:

• Bitwarden — açık kaynak; ücretsiz katmanı sınırsız parola desteği veriyor. Kâr amacı gütmeyen kuruluşlara özel ücretsiz “Teams” planı sunuyor.
• 1Password — kullanıcı dostu arayüz; “Travel Mode” gibi sınır geçişlerinde kullanışlı özellikler içeriyor.
• Apple Şifreler / Google Şifreler — Apple veya Google ekosistemi içindeyseniz pratik bir başlangıç noktası.
• KeePassXC — tamamen yerel çalışan, buluta veri göndermeyen açık kaynak alternatif.

Parola yöneticisini kullanmaya başladığınızda kuracağınız tek ana parola uzun, kolay hatırlanan ama tahmin edilmesi güç olmalı. ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) güncel önerisi: en az 12 karakterden başlayan, mümkünse 4-5 kelimeden oluşan geçiş cümleleri (passphrases). “Köpek-mavi-sandalye-kahve-2026” gibi.

2. İki faktörlü doğrulama (2FA) — pazarlık konusu değil

Parolanız sızdığında bile 2FA, hesabınıza erişimi engelleyen ikinci kapıdır. Sivil toplum çalışanları için e-posta, Google/Microsoft hesapları, sosyal medya, Drive, Mailchimp ve bağışçı yönetim sistemlerinde 2FA mutlaka açık olmalı.

2FA türlerini güçlüden zayıfa sıralarsak:

1. Donanım güvenlik anahtarı (YubiKey, Google Titan vb.) — yüksek riskli aktivistler için altın standart.
2. Authenticator uygulaması (Google Authenticator, Authy, 1Password yerleşik authenticator).
3. SMS kodu — en zayıf seçenek; SIM swap saldırılarına açık. Mümkünse kullanmayın.

Türkiye’de çalışan pek çok aktivist için SMS yerine authenticator uygulamasına geçmek ücretsiz ve büyük bir fark yaratıyor.

3. Hesaplarınızın sızıp sızmadığını kontrol edin

Have I Been Pwned, e-posta adresinizin geçmiş veri sızıntılarında yer alıp almadığını gösteren ücretsiz, güvenilir bir servis. E-postanızı girin; eğer “pwned” sonucu çıkarsa, o e-postayla kullandığınız tüm parolaları derhal değiştirin ve ilgili hesaplarda 2FA’nın açık olduğundan emin olun.

4. Yüksek riskli profiller için ek katman: passkey ve donanım anahtarı

Hedefli saldırı riski taşıyan gazeteciler, insan hakları savunucuları ve hassas konularda çalışan aktivistler için 2026 itibarıyla altın standart passkey (geçiş anahtarı) ve donanım güvenlik anahtarı kombinasyonu. Passkey’ler, parolayı tamamen ortadan kaldırarak hesabı cihaza ve biyometriğe bağlar; oltalama saldırılarına karşı çok daha dayanıklıdır.

Yüksek risk altında çalışıyorsanız Access Now Digital Security Helpline ile iletişime geçmenizi öneririz: aktivist ve gazetecilere yönelik 24/7, ücretsiz, Türkçe dahil çoklu dilde teknik destek hattıdır. EFF Surveillance Self-Defense kütüphanesi de adım adım rehberler içerir.

Bölüm 2: STK’lar İçin Kurumsal Parola Yönetimi

1. Paylaşılan hesaplar ve “kurum hafızası” sorunu

Çoğu STK’da Twitter/X, Instagram, Facebook, Mailchimp, Canva, Google Workspace gibi hesaplar birden fazla kişi tarafından kullanılır. Yaygın ama riskli pratik: parolanın WhatsApp grubunda paylaşılması, takvime not düşülmesi veya bir Word dosyasında durması.

Doğru çözüm: kurumsal parola yöneticisi (vault) kullanmak. Bitwarden Teams ve 1Password Business gibi servisler;

• parolayı kişiler arasında şifrelenmiş şekilde paylaşmaya,
• kim hangi hesaba erişti, ne zaman erişti — denetim kaydı tutmaya,
• birisi ekipten ayrıldığında erişimi tek tıkla kesmeye

izin veriyor. Bitwarden’ın kâr amacı gütmeyen kuruluşlar için ücretsiz Teams planı bulunuyor — STK’lar için ciddi bir maliyet avantajı.

2. Veri sorumluluğu ve KVKK

KVKK kapsamında STK’lar veri sorumlusu sayılır. Bağışçı, üye, gönüllü ve faydalanıcı verilerini içeren bir sızıntı yaşandığında kurumun gerekli teknik ve idari önlemleri aldığını ispat etmesi gerekir. “Parolaları WhatsApp grubunda tutuyorduk” şeklindeki bir kurumsal pratik, bu noktada savunulamaz hale gelir.

Asgari kurumsal politika önerileri:

• Tüm ekibe kurumsal parola yöneticisi sağlanması.
• Tüm kurum hesaplarında 2FA’nın zorunlu olması.
• Çalışan veya gönüllü ayrılışında uygulanacak erişim kapama prosedürünün (off-boarding checklist) yazılı olarak tanımlanması.
• Yılda en az bir kez dijital güvenlik atölyesi düzenlenmesi.
• Veri ihlali durumunda kurum içi müdahale prosedürünün ve KVKK’ya bildirim süresinin (72 saat) bilinmesi.

3. Ekibin parola hijyeni: politika kadar kültür de önemli

En iyi yazılı politika bile uygulanmazsa anlamsız kalır. Pratik bir başlangıç:

• Yıllık dijital güvenlik atölyesi — 1-2 saatlik bir oturum bile ekipte ciddi farkındalık yaratıyor.
• Onboarding sürecine parola yöneticisi kurulumu ve hesap politikalarının açıklanmasını eklemek.
• Phishing tatbikatı — ekibe kasıtlı ama zararsız bir oltalama maili gönderip kim tıklıyor görmek (eğitim amaçlı, kimseyi utandırmadan).

Sivilalan.com’da daha önce yayımladığımız İnternet Özgürlüğünün Anahtarı: Kendi VPN’inizi DigitalOcean ve Outline VPN ile Kurun yazısında belirttiğimiz gibi, dijital güvenlik tek bir araçla değil, birbirini tamamlayan katmanlarla sağlanır. Parola güvenliği bu katmanların ilkidir; VPN, güvenli mesajlaşma, cihaz şifrelemesi ve düzenli yedekleme bu temelin üstüne eklenir.

Bugün 5 Dakikada Yapabileceğiniz 5 Şey

1. Bir parola yöneticisi indirin (Bitwarden veya 1Password önerimiz).
2. E-postanızı haveibeenpwned.com üzerinden kontrol edin; sızmışsa o parolayla giriş yaptığınız tüm hesapları güncelleyin.
3. Asıl e-posta hesabınıza authenticator tabanlı 2FA açın. SMS doğrulamayı mümkünse devre dışı bırakın.
4. Kurum sosyal medya hesaplarının parolasını yeni ve güçlü olanla değiştirin. Eski paylaşımları (WhatsApp grubu, Drive dosyası, takvim notu) silin.
5. Ekipten ayrılan eski bir gönüllü/çalışan varsa, hâlâ erişimi olabilecek hesapları gözden geçirin.

İleri Okuma ve Destek Kaynakları

• Access Now Digital Security Helpline — Aktivistler, STK’lar ve gazeteciler için 24/7 ücretsiz, çok dilli teknik destek hattı (Türkçe destek mevcut).
• EFF Surveillance Self-Defense — Detaylı, çok dilli dijital güvenlik rehber kütüphanesi.
• Citizen Lab — Aktivistlere yönelik gözetim ve hedefli saldırılar üzerine bağımsız araştırma raporları.
• Security in a Box (Tactical Tech) — STK çalışanları ve aktivistler için dil seçenekli pratik araç kütüphanesi.
• USOM (Ulusal Siber Olaylara Müdahale Merkezi) — Türkiye’de siber olay bildirimi.
• KVKK Resmi Sitesi — Veri sorumlusu yükümlülükleri ve ihlal bildirim formu.

Sonuç

Parola güvenliği, sivil toplum çalışmasının görünmez ama temel altyapısı. Bireysel olarak attığımız küçük adımlar — bir parola yöneticisi kurmak, 2FA açmak, sızmış parolaları değiştirmek — kurumsal düzeyde çarpan etkisi yaratıyor. Dünya Parola Günü, bu konuyu yılda bir kez gündeme almak için bir bahane; ama gerçek değişim, dijital güvenlik kurum kültürünün parçası haline geldiğinde başlıyor.

Bağışçı verinizin, gönüllü ekibinizin ve kampanya çalışmanızın güvenliği bu temelden başlıyor.

📩 Kurumunuzda dijital güvenlik atölyesi, parola yönetimi politikası kurulumu veya stratejik dijital dönüşüm desteği almak isterseniz bizimle iletişime geçebilirsiniz: info@civicspacemedia.org

📍 Sivil toplum, dijital güvenlik ve iletişim alanındaki haftalık özetler için Sivil Alan Özeti bültenimize abone olabilir, güncel duyuruları takip etmek için WhatsApp topluluğumuza katılabilirsiniz.