Parola Gücü Nasıl Belirlenir: Entropi, Kırılma Direnci ve Güvenli Kimlik Bilgisi Yönetimine İlişkin Teknik Kılavuz

Bir parolanın gücü, kaba kuvvet saldırıları, sözlük saldırıları, kimlik bilgisi doldurma ve istatistiksel tahmin yoluyla yetkisiz keşfe karşı ne kadar dirençli olduğunun nicel bir ölçüsüdür. Bu ölçüm üç bileşik değişken tarafından belirlenir: uzunluk, karakter alanı çeşitliliği ve tahmin edilemezlik (entropi). Shannon entropisi açısından 60 bitin üzerinde puan alan ve karma karakter setinden oluşan en az 16 karakter içeren bir parola, mevcut NIST SP 800-63B standartlarına göre kriptografik olarak güçlü kabul edilir.

Parola gücünü anlamak yalnızca bir kontrol listesini takip etmekle ilgili değildir — karakter havuzları, parola uzunluğu ve bir saldırgana yüklenen hesaplama maliyeti arasındaki matematiksel ilişkiyi kavramayı gerektirir. Bu kılavuz, söz konusu ilişkiyi kesin teknik terimlerle ele almakta, profesyonel güvenlik mühendislerinin kimlik bilgilerini nasıl değerlendirdiğini açıklamakta ve sunucularda ve barındırma altyapısında kimlik doğrulama politikalarını yöneten hem bireysel kullanıcılar hem de sistem yöneticileri için uygulanabilir pratikler sunmaktadır.

Parola Gücü Aslında Neyi Ölçer

Parola gücü, saldırı maliyetinin bir göstergesidir — özellikle, bir saldırganın doğru kimlik bilgisini bulmadan önce kaç tahmin yapması gerektiğinin. Bu maliyet, aşağıdaki formül kullanılarak entropi bitleri cinsinden ifade edilir:

H = L × log₂(N)

Burada H bit cinsinden entropiyi, L karakter cinsinden parola uzunluğunu ve N karakter havuzunun boyutunu (saldırganın dikkate alması gereken farklı sembol sayısını) temsil eder.

Daha yüksek bir entropi değeri, üstel olarak daha fazla tahmin çalışması anlamına gelir. 40 bit ile 80 bit arasındaki fark, iki kat daha zor değildir — 2^40 kat daha zordur; bu da yaklaşık bir trilyon ek tahmine karşılık gelir.

Karakter Havuzu ve Entropi Üzerindeki Etkisi

Bu tablo, tamamen alfabetik bir parolaya tek bir sembol eklemenin bile ölçülebilir bir entropi kazancı sağladığını ve dört kelimeli bir Diceware parola öbeğinin karmaşık ama kısa bir paroladan neden daha iyi performans gösterebileceğini ortaya koymaktadır.

Parola Gücünü Belirleyen Temel Faktörler

Parola Uzunluğu

Uzunluk, entropi formülündeki en etkili tek değişkendir. Sabit bir karakter havuzu için bir parolanın uzunluğunu iki katına çıkarmak, arama alanını karesiyle artırır. Şu karşıtlığı düşünün:

• Tam yazdırılabilir ASCII kullanan 8 karakterli bir parola: H = 8 × 6.57 = ~52.6 bits
• Aynı karakter setini kullanan 16 karakterli bir parola: H = 16 × 6.57 = ~105 bits

52,6 bit ile, MD5 hash’leri üzerinde Hashcat çalıştıran modern GPU hızlandırmalı kırma sistemleri alanı saatler içinde tüketebilir. 105 bit ile, aynı donanım jeolojik zaman ölçekleri gerektirecektir. NIST SP 800-63B, kullanıcı tarafından seçilen parolalar için minimum 8 karakter önermektedir; ancak güvenlik bilincine sahip yöneticiler minimum 12–16 karakter uygulamalıdır ve yapay bir üst sınır koymamalıdır.

Karakter Çeşitliliği ve Karmaşıklığı

Karakter sınıflarını karıştırmak N‘yi genişletir ve dolayısıyla karakter başına entropiyi artırır. Güçlü bir parola şunlardan oluşmalıdır:

• Büyük harfler (A–Z)
• Küçük harfler (a–z)
• Rakamlar (0–9)
• Özel karakterler (!, @, #, $, %, ^, &, *, vb.)

Ancak birçok kılavuzun atladığı kritik bir nüans: zorunlu karmaşıklık kuralları paradoks biçimde parolaları zayıflatabilir. Kullanıcılar bir sembol eklemeye zorlandığında, tahmin edilebilir şekilde bir kelimenin sonuna ! veya 1 eklerler. Bu kalıp, kırıcılar tarafından iyi bilinmekte ve Hashcat gibi araçlar tarafından kullanılan kural setlerine kodlanmış durumdadır. Gerçek karmaşıklık rastgelelikten gelir, bir onay kutusunu doldurmaktan değil.

Tahmin Edilemezlik ve Kalıp Saldırılarına Direnç

Modern parola kırma işlemi tamamen kaba kuvvete dayalı değildir. Hashcat ve John the Ripper gibi araçlar, sözlük kelimelerine dönüşümler uygulayan kural tabanlı saldırılar kullanır — ilk harfi büyük yapma, a‘yi @ ile değiştirme, yıl ekleme vb. P@ssw0rd!23 gibi bir parola karmaşık görünür ancak iyi bilinen bir değiştirme kalıbını takip ettiği için önemsiz biçimde kırılır.

Gerçek tahmin edilemezlik şu anlama gelir:

• Leetspeak değiştirmeleri dahil sözlük kelimeleri yok
• Klavye yürüyüşleri yok (qwerty, zxcvbn)
• Kişisel bilgi yok (isimler, doğum tarihleri, evcil hayvan isimleri)
• Başta veya sonda tahmin edilebilir kalıplar yok (! son eki, 1 ön eki)

Tahmin edilemezliğin en güvenilir kaynağı, saygın parola yöneticilerinin dahili olarak kullandığı kriptografik olarak güvenli rastgele sayı üreticisidir (CSPRNG).

Hesaplar Arasında Benzersizlik

Kimlik bilgisi yeniden kullanımı, tek bir ihlali sistemik bir uzlaşmaya dönüştürür. Parolaları düz metin veya zayıf MD5 ile saklayan bir hizmet ihlal edildiğinde, saldırganlar bu kimlik bilgilerini hemen diğer yüksek değerli hedeflere karşı çalıştırır — bu tekniğe kimlik bilgisi doldurma denir. Gmail, bankacılık portalları ve barındırma kontrol panelleri birincil hedeflerdir.

Her hesabın farklı bir parolası olmalıdır. Bu, birkaçtan fazla hesabı yöneten çoğu kullanıcı için bir parola yöneticisi olmadan operasyonel olarak imkânsızdır.

Parola Gücünü Değerlendirme Yöntemleri

Entropi Hesaplama

Entropi formülü H = L × log₂(N) en nesnel ölçümdür. Pratik değerlendirme için referans değerler aşağıda verilmiştir:

correct-horse-battery-staple‘nin — ünlü XKCD parola öbeğinin — yalnızca küçük harf ve kısa çizgi kullanmasına rağmen uzunluk sayesinde olağanüstü entropi elde ettiğine dikkat edin. Bu, karmaşıklık yerine uzunluğun gücüdür.

Güvenlik Profesyonelleri Tarafından Kullanılan Parola Kırma Araçları

Güvenlik mühendisleri ve sızma test uzmanları, parola politikalarını ampirik olarak test etmek için aşağıdaki araçları kullanır:

Hashcat, sektör standardı GPU hızlandırmalı parola kurtarma aracıdır. 300’den fazla hash türünü destekler ve sözlük, kaba kuvvet, kural tabanlı ve hibrit saldırılar çalıştırabilir. Modern bir RTX 4090 üzerinde Hashcat, saniyede yaklaşık 164 milyar MD5 hash’ini test edebilir — bu bağlam, yukarıdaki entropi rakamlarını somut bir gerçekliğe dönüştürür.

John the Ripper, güçlü kural tabanlı saldırı yetenekleri ve geniş hash formatı desteğine sahip CPU tabanlı bir kırıcıdır. Adli bilişim ve denetim bağlamlarında yaygın olarak kullanılır.

zxcvbn, Dropbox tarafından geliştirilen istemci taraflı bir parola gücü tahmin aracıdır. Basit entropi hesaplayıcılarının aksine, sözlüklere, yaygın kalıplara, klavye dizilerine ve tarih formatlarına karşı kontrol yaparak gerçekçi saldırgan davranışını modeller. Kullanıcıya yönelik uygulamalar için en doğru güç ölçerdir.

Hashcat kullanarak bir parola hash’ini kıyaslama modunda çevrimdışı test etmek için:

hashcat -b -m 0

Bir MD5 hash dosyasına karşı kurallarla sözlük saldırısı çalıştırmak için:

hashcat -a 0 -m 0 hashes.txt /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule

Çevrimiçi Parola Test Araçları

Çeşitli tarayıcı tabanlı araçlar hızlı güç değerlendirmesi sağlar:

• Have I Been Pwned (HIBP) Parola Kontrolü — bir parolanın SHA-1 hash önekini, k-anonimlik modeli kullanarak 800 milyondan fazla ihlal edilmiş paroladan oluşan bir veritabanına karşı kontrol eder; bu da tam parolanın hiçbir zaman iletilmediği anlamına gelir.
• Bitwarden Parola Gücü Test Aracı — gerçekçi kırma süresi tahmini için arka planda zxcvbn kullanır.
• Kaspersky Parola Denetleyicisi — uzunluk, karmaşıklık ve kalıp analizi sağlar.

Kritik operasyonel uyarı: Gerçekte kullanılan bir parolayı hiçbir zaman herhangi bir çevrimiçi araca girmeyin. Yapısal olarak benzer ancak farklı bir test kimlik bilgisi kullanın. k-anonimlik modeli kullanan araçlar bile gerçek üretim parolalarınızı almamalıdır.

Uygulamalardaki Parola Gücü Ölçerleri

Yerleşik güç ölçerleri kalite açısından önemli ölçüde farklılık gösterir. Birçoğu, manipüle edilebilen basit buluşsal yöntemler (uzunluk eşikleri, karakter sınıfı varlığı) kullanır. P@ssw0rd1!‘yi “Güçlü” olarak derecelendiren bir ölçer yanıltıcıdır — bu dize her büyük ihlal sözlüğünde yer almaktadır. zxcvbn veya eşdeğer kalıp farkında tahmin araçlarını entegre eden uygulamaları tercih edin.

Parola Saldırı Vektörleri: Aslında Neye Karşı Savunma Yapıyorsunuz

Tehdit modelini anlamak, parola politikasıyla ilgili her kararı keskinleştirir.

Kaba kuvvet saldırıları, bir karakter alanı içindeki her olası kombinasyonu sistematik olarak dener. Hesaplama açısından sınırlıdırlar ve mevcut donanımla ~80 bitin üzerindeki entropi değerlerinde pratik olmayan bir hale gelirler.

Sözlük saldırıları, ihlallerde sızdırılan gerçek parolalardan türetilen kelime listelerini kullanır. RockYou veri seti (14 milyon parola) ve ardılları, insan tarafından seçilen parolaların büyük çoğunluğunu kapsar. Parolanız doğal dilde görünüyorsa, bir sözlükte yer alıyordur.

Kural tabanlı saldırılar, sözlük kelimelerine dönüşüm kuralları uygular — büyük harf kullanımı, sayı ekleme, sembol değiştirme. Bunlar, kullanıcıların basit kelimeleri değiştirerek oluşturduğu “karmaşık” parolaların büyük çoğunluğunu kırar.

Kimlik bilgisi doldurma, bir ihlalden elde edilen kullanıcı adı/parola çiftlerini diğer hizmetlere saldırmak için kullanır. Bu, parola benzersizliği ile tamamen önlenir.

Gökkuşağı tablosu saldırıları, önceden hesaplanmış hash-düz metin eşlemelerini kullanır. Bunlar, sunucu tarafında benzersiz bir tuzla uygun parola hash’lemesi (bcrypt, Argon2, scrypt) ile önlenir — bu, kullanıcının değil uygulamanın sorumluluğundadır.

Sosyal mühendislik ve kimlik avı, parola gücünü tamamen atlar. Çok faktörlü kimlik doğrulama burada birincil savunmadır.

Güçlü Parolalar Oluşturma ve Yönetme İçin En İyi Uygulamalar

Parola Yöneticisi Kullanın

Parola yöneticisi, çoğu kullanıcı ve yönetici için mevcut en yüksek kaldıraçlı tek güvenlik iyileştirmesidir. Bitwarden (açık kaynak, denetlenmiş), 1Password ve KeePassXC (çevrimdışı, yerel depolama) gibi araçlar kriptografik olarak rastgele parolalar üretir ve bunları şifreli bir kasada saklar. Bu, ezberlemenin bilişsel yükünü ortadan kaldırır ve her hesap için benzersiz, 20+ karakterli rastgele parolaları pratik hale getirir.

VPS Hosting ortamları ve Dedicated Sunucular dahil olmak üzere sunucular genelinde kimlik bilgilerini yöneten sistem yöneticileri için, rol tabanlı erişim denetimine sahip ekip odaklı bir parola yöneticisi (Bitwarden Teams veya HashiCorp Vault gibi) temel altyapıdır.

CSPRNG ile Parola Oluşturun

Parolaları hiçbir zaman manuel olarak oluşturmayın. Parola yöneticinizin oluşturucusunu kullanın veya Linux/macOS’ta:

# Generate a 20-character random password using /dev/urandom
LC_ALL=C tr -dc 'A-Za-z0-9!@#$%^&*()-_=+' < /dev/urandom | head -c 20; echo

# Generate a Diceware-style passphrase using OpenSSL
openssl rand -base64 32

Çok Faktörlü Kimlik Doğrulamayı (MFA) Uygulayın

MFA, önemli değere sahip herhangi bir hesap için vazgeçilmez bir katmandır. Ele geçirilmiş bir parola bile ikinci faktör olmadan erişim sağlayamaz. SIM değiştirme saldırılarına karşı savunmasız olan SMS tabanlı 2FA yerine TOTP kimlik doğrulayıcı uygulamalarını (Authy, Google Authenticator, Aegis) tercih edin. En yüksek güvence gerektiren ortamlar için, tasarım gereği kimlik avına karşı dirençli olan donanım güvenlik anahtarlarını (YubiKey, FIDO2) kullanın.

VPS Kontrol Panelleri aracılığıyla yönetilen ortamlar dahil olmak üzere web uygulamaları veya kontrol panelleri çalıştıran sunucularda, uygulama katmanında MFA’yı zorunlu kılın ve parola tabanlı SSH girişinin tamamen yerine geçmesi olarak SSH anahtar tabanlı kimlik doğrulamayı değerlendirin.

Sistem Düzeyinde Güçlü Parola Politikalarını Uygulayın

Linux sunucularını yöneten yöneticiler için PAM (Takılabilir Kimlik Doğrulama Modülleri), ayrıntılı parola politikası uygulaması sağlar. libpam-pwquality‘yi yükleyin ve yapılandırın:

apt install libpam-pwquality

Ardından /etc/security/pwquality.conf‘yi düzenleyin:

minlen = 16
minclass = 3
maxrepeat = 2
gecoscheck = 1
dictcheck = 1

Bu, minimum 16 karakterlik uzunluğu zorunlu kılar, en az 3 sınıftan karakter gerektirir, 2’den fazla ardışık özdeş karakteri yasaklar ve sözlük kelimeleri ile kullanıcının GECOS alanını (ad) kontrol eder.

Parola eskime politikası için /etc/login.defs‘yi düzenleyin:

PASS_MAX_DAYS   90
PASS_MIN_DAYS   1
PASS_WARN_AGE   14

Kimlik Bilgisi İhlallerini İzleyin

İhlal izlemeyi güvenlik operasyonlarınıza entegre edin. Have I Been Pwned, e-posta adreslerini bilinen ihlal veritabanlarına karşı kontrol etmek için ücretsiz bir API sunar. Kurumsal kullanım için SpyCloud veya Enzoic gibi hizmetler, gerçek zamanlı kimlik bilgisi izleme sağlar ve bir çalışanın kimlik bilgileri bir ihlal veri setinde göründüğünde zorla parola sıfırlamayı tetikleyebilir.

Sunucu Tarafında Güvenli Parola Hash’leme

Paylaşımlı Web Hosting veya özel bir ortamda kullanıcı kimlik bilgilerini depolayan web uygulamaları işletiyorsanız, parolaları hiçbir zaman düz metin olarak veya zayıf hash algoritmaları (MD5, SHA-1, tuzlanmamış SHA-256) ile saklamayın. Amaca yönelik bir parola hash’leme işlevi kullanın:

• Argon2id — Parola Hash’leme Yarışması’nın galibi; OWASP tarafından yeni uygulamalar için önerilir
• bcrypt — yaygın olarak desteklenen, savaşta test edilmiş; 12 veya daha yüksek bir iş faktörü kullanın
• scrypt — bellek yoğun; GPU tabanlı saldırılara karşı iyi direnç

Python’un argon2-cffi kütüphanesini kullanan örnek:

from argon2 import PasswordHasher

ph = PasswordHasher(time_cost=2, memory_cost=65536, parallelism=2)
hash = ph.hash("user_supplied_password")
# Verify:
ph.verify(hash, "user_supplied_password")

Pratik Bir Alternatif Olarak Parola Öbekleri

Ezberlenmesi gereken parolalar için (ana parola yöneticisi parolası, tam disk şifreleme anahtarı), bir Diceware parola öbeği entropi ve ezberlenebilirlik arasında en iyi dengeyi sunar. EFF Büyük Kelime Listesi’nden her kelimeyi seçmek için fiziksel bir zar beş kez atın. Beş kelime yaklaşık 64,6 bit entropi sağlar; altı kelime 77,5 bit sağlar.

Example: "clam-unmasked-revival-stunt-dagger"
Entropy: ~64.6 bits (5 words × 12.92 bits)

Bu, kullanıcı tarafından seçilen çoğu “karmaşık” paroladan daha güçlüdür ve çok daha kolay hatırlanır.

Barındırma Altyapınız Genelinde Kimlik Bilgilerini Koruma

Parola güvenliği, bireysel hesapların ötesine geçerek tüm altyapı yığınını kapsar. Barındırma ortamlarını yöneten yöneticiler, katmanlı kimlik bilgisi kontrolleri uygulamalıdır:

• SSH erişimi: Parola kimlik doğrulamasını tamamen devre dışı bırakın; Ed25519 veya RSA-4096 anahtar çiftleri kullanın. Özel anahtarları güçlü bir parola öbeğiyle saklayın.
• Veritabanı kimlik bilgileri: Veritabanı kullanıcıları için uzun, rastgele oluşturulmuş parolalar kullanın. Uygulama bağlantıları için hiçbir zaman kök veritabanı hesaplarını kullanmayın.
• Kontrol paneli hesapları: Tüm kontrol paneli girişleri için güçlü parolalar ve MFA zorunlu kılın. cPanel ile VPS aracılığıyla erişilebilen platformlarda cPanel’in parola gücü uygulaması minimum 65 puana ayarlanmalıdır.
• E-posta hesapları: Zayıf e-posta parolaları, hesap ele geçirme için birincil saldırı vektörüdür. E-posta Hosting yönetiyorsanız, posta sunucusu düzeyinde güçlü parola politikaları uygulayın ve kimlik avı riskini azaltmak için DMARC, DKIM ve SPF’yi etkinleştirin.
• SSL/TLS özel anahtarları: SSL Sertifikaları ile ilişkili özel anahtarları dosya sistemi izinleriyle (chmod 600) koruyun ve mümkün olduğunda bunları bir donanım güvenlik modülünde (HSM) veya gizli yöneticisinde saklayın.

Parola Gücü ve Parola Politikası: Bir Karşılaştırma

Karar Matrisi ve Teknik Temel Çıkarımlar

Mevcut parola durumunuzu değerlendirmek ve güçlendirmek için bu kontrol listesini kullanın:

• Entropi hedefi: Genel hesaplar için minimum 80 bit; ayrıcalıklı erişim (sunucu kökü, parola yöneticisi ana parolası, şifreleme anahtarları) için 100+ bit hedefleyin.
• Uzunluk tabanı: Kontrol ettiğiniz herhangi bir sistemde 12 karakterden kısa parolaları hiçbir zaman kabul etmeyin; kullanıcı hesapları için 16–20, hizmet hesapları ve API anahtarları için 32+ tercih edin.
• Karakter havuzu: Rastgele oluşturulan parolalar için tam yazdırılabilir ASCII kullanın; ezberlenen parola öbekleri için Diceware kullanın.
• Benzersizlik: Kimlik bilgisi yeniden kullanımına sıfır tolerans. Bunu operasyonel olarak uygulanabilir kılmak için bir parola yöneticisi kullanın.
• Hash algoritması: Argon2id, sunucu tarafı parola depolama için mevcut altın standarttır. Yalnızca Argon2id yığınınızda mevcutsa bcrypt’ten geçiş yapın.
• MFA katmanı: Minimum TOTP; ayrıcalıklı ve yönetimsel hesaplar için FIDO2/WebAuthn.
• SSH sertleştirme: Tüm sunucularda parola tabanlı SSH girişini devre dışı bırakın. /etc/ssh/sshd_config‘de PasswordAuthentication no kullanın.
• İhlal izleme: Tüm kurumsal e-posta etki alanları için HIBP bildirimlerine abone olun.
• Denetim sıklığı: Saldırganlardan önce zayıf kimlik bilgilerini tespit etmek için Hashcat kullanarak kendi hash veritabanınıza karşı üç ayda bir parola denetimleri çalıştırın.
• Politika uygulaması: Linux sistemlerinde PAM pwquality kullanın; Windows’ta Grup İlkesi (Ayrıntılı Parola İlkeleri) aracılığıyla eşdeğer kontrolleri zorunlu kılın.

Sıkça Sorulan Sorular

NIST’in 2024’teki minimum parola uzunluğu önerisi nedir?

NIST SP 800-63B, kullanıcı tarafından seçilen parolalar için mutlak minimumu 8 karakter olarak belirler; ancak doğrulayıcıların en az 64 karaktere kadar parolalara izin vermesini açıkça önerir. Güvenlik uygulayıcıları, 12–16 karakterlik pratik bir minimum uygulamalı ve hassas hesaplar için 20+ karakterlik parola öbeklerini teşvik etmelidir.

Sembol içeren 12 karakterli bir parola, 20 karakterli küçük harfli bir parola öbeğinden daha güçlü müdür?

Zorunlu olarak değil. Rastgele oluşturulmuş 20 karakterli küçük harfli bir parola öbeği yaklaşık 94 bit entropi içerirken (20 × 4,70), 12 karakterli karma ASCII parolası yaklaşık 78,8 bit içerir (12 × 6,57). Daha uzun parola öbeği, daha küçük bir karakter havuzu kullanmasına rağmen entropi açısından kazanır — uzunluk, karakter çeşitliliğinden daha hızlı bileşik etki yaratır.

Sözlük saldırısı ile kaba kuvvet saldırısı arasındaki fark nedir?

Kaba kuvvet saldırısı, tanımlı bir alan içindeki her olası karakter kombinasyonunu dener — kapsamlıdır ancak hesaplama açısından sınırlıdır. Sözlük saldırısı, ihlallerde sızdırılan gerçek parolalardan, yaygın kelimelerden ve bilinen kalıplardan türetilen kelime listelerini kullanır. Sözlük saldırıları, insan tarafından seçilen parolaların büyük çoğunluğunu saniyeler içinde kırar; kaba kuvvet, tam arama alanının işlenebilir olduğu kısa parolalar için ayrılmıştır.

İhlal olmasa bile parolalarımı düzenli olarak değiştirmeli miyim?

Mevcut NIST kılavuzu (SP 800-63B), uzlaşma kanıtı olmaksızın zorunlu periyodik parola rotasyonunu açıkça önermez; çünkü zorla rotasyon, kullanıcıların tahmin edilebilir, artımlı değişiklikler yapmasına yol açar (örn. Password1‘den Password2‘ye). Onaylanan veya şüphelenilen ihlal durumunda parolaları hemen değiştirin ve hizmet hesabı kimlik bilgilerini risk yönetimi uygulaması olarak belirlenmiş bir programda (90–180 gün) döndürün.

Parolamın bir veri ihlalinde zaten açığa çıkıp çıkmadığını üçüncü taraf bir sunucuya göndermeden nasıl kontrol edebilirim?

Have I Been Pwned Pwned Passwords API’sini k-anonimlik uygulamasıyla kullanın. İstemciniz parolanın SHA-1 hash’ini hesaplar, bu hash’in yalnızca ilk 5 karakterini API’ye gönderir ve karşılığında eşleşen tüm hash son eklerini alır. Tam hash — ve dolayısıyla parola — hiçbir zaman makinenizi terk etmez. Bu doğrudan betik haline getirilebilir:

PASSWORD="YourTestPassword"
HASH=$(echo -n "$PASSWORD" | sha1sum | awk '{print toupper($1)}')
PREFIX="${HASH:0:5}"
SUFFIX="${HASH:5}"
curl -s "https://api.pwnedpasswords.com/range/$PREFIX" | grep "$SUFFIX"

Komut bir sonuç döndürürse, parola bir ihlalde görülmüş demektir ve kullanılmamalıdır.