135 lines
5.2 KiB
Markdown
135 lines
5.2 KiB
Markdown
# Clerk Şifre Güvenliği Rehberi
|
||
|
||
## Sorun
|
||
|
||
Provider hesabı oluştururken "Bu şifre bir veri ihlalinde tespit edildi ve kullanılamaz. Lütfen başka bir şifre deneyin." hatası alınıyor.
|
||
|
||
## Neden Bu Hata Oluşuyor?
|
||
|
||
Clerk, varsayılan olarak kullanıcı güvenliğini artırmak için **Password Breach Detection** (Şifre İhlali Tespiti) özelliğini aktif tutar. Bu özellik:
|
||
|
||
- Girilen şifreyi bilinen veri ihlali veritabanlarıyla karşılaştırır
|
||
- Eğer şifre daha önce bir veri ihlalinde ortaya çıkmışsa, kullanımını engeller
|
||
- Bu, kullanıcıların güvenliğini artırmak için önemli bir güvenlik önlemidir
|
||
|
||
## Çözüm 1: Güçlü Bir Şifre Kullanın (ÖNERİLEN)
|
||
|
||
En iyi çözüm, daha önce hiçbir yerde kullanılmamış, güçlü bir şifre oluşturmaktır:
|
||
|
||
### Güçlü Şifre Kriterleri:
|
||
- ✅ En az 8 karakter uzunluğunda
|
||
- ✅ Büyük harf içermeli (A-Z)
|
||
- ✅ Küçük harf içermeli (a-z)
|
||
- ✅ Rakam içermeli (0-9)
|
||
- ✅ Özel karakter içermeli (!@#$%^&*)
|
||
- ✅ Daha önce başka servislerde kullanılmamış olmalı
|
||
|
||
### Güçlü Şifre Örnekleri:
|
||
```
|
||
Kapadokya2026!Test
|
||
Provider@Secure123
|
||
LetsGo#Cappadocia2026
|
||
TravelApp!2026Secure
|
||
```
|
||
|
||
### Şifre Oluşturucu Araçları:
|
||
- [1Password Password Generator](https://1password.com/password-generator/)
|
||
- [LastPass Password Generator](https://www.lastpass.com/features/password-generator)
|
||
- [Bitwarden Password Generator](https://bitwarden.com/password-generator/)
|
||
|
||
## Çözüm 2: Clerk Dashboard'da Ayarı Değiştirin (Sadece Geliştirme İçin)
|
||
|
||
**⚠️ UYARI:** Bu yöntem sadece geliştirme/test ortamları için önerilir. Production ortamında bu özelliği kapalı tutmak güvenlik riski oluşturur.
|
||
|
||
### Adımlar:
|
||
|
||
1. **Clerk Dashboard'a Giriş Yapın**
|
||
- [https://dashboard.clerk.com](https://dashboard.clerk.com) adresine gidin
|
||
- Hesabınıza giriş yapın
|
||
|
||
2. **Uygulamanızı Seçin**
|
||
- LetsGoCappadocia uygulamanızı seçin
|
||
|
||
3. **Password Settings'e Gidin**
|
||
- Sol menüden **User & Authentication** → **Email, Phone, Username** seçin
|
||
- Sayfayı aşağı kaydırın ve **Password settings** bölümünü bulun
|
||
|
||
4. **Breach Detection'ı Kapatın**
|
||
- **"Check passwords against known breaches"** seçeneğini devre dışı bırakın
|
||
- Değişiklikleri kaydedin
|
||
|
||
5. **Tekrar Deneyin**
|
||
- Şimdi daha önce kullandığınız şifreyle hesap oluşturabilirsiniz
|
||
|
||
## Güvenlik Önerileri
|
||
|
||
### Production Ortamı İçin:
|
||
- ✅ Password Breach Detection'ı **AÇIK** tutun
|
||
- ✅ Kullanıcılardan güçlü şifre kullanmalarını isteyin
|
||
- ✅ Şifre gereksinimleri hakkında açık bilgi verin
|
||
|
||
### Geliştirme Ortamı İçin:
|
||
- ⚠️ Test için basit şifreler kullanabilirsiniz (breach detection kapalıysa)
|
||
- ✅ Ancak production'a geçmeden önce breach detection'ı tekrar açın
|
||
- ✅ Test şifrelerini production'da kullanmayın
|
||
|
||
## Clerk Password Settings Özellikleri
|
||
|
||
Clerk Dashboard'da yapılandırabileceğiniz diğer şifre ayarları:
|
||
|
||
### Minimum Şifre Uzunluğu
|
||
- Varsayılan: 8 karakter
|
||
- Önerilen: 8-12 karakter arası
|
||
|
||
### Şifre Karmaşıklığı
|
||
- Büyük harf zorunluluğu
|
||
- Küçük harf zorunluluğu
|
||
- Rakam zorunluluğu
|
||
- Özel karakter zorunluluğu
|
||
|
||
### Breach Detection
|
||
- Bilinen veri ihlallerine karşı kontrol
|
||
- **Production'da mutlaka açık olmalı**
|
||
|
||
### Password History
|
||
- Kullanıcıların eski şifrelerini tekrar kullanmasını engeller
|
||
- Önerilen: Son 3-5 şifreyi hatırla
|
||
|
||
## Sık Sorulan Sorular
|
||
|
||
### S: Neden şifrem "ihlal edilmiş" olarak gösteriliyor?
|
||
|
||
**C:** Şifreniz daha önce başka bir web sitesinde veri ihlalinde ortaya çıkmış olabilir. Bu, şifrenizin güvensiz olduğu anlamına gelir çünkü saldırganlar bu şifreleri biliyorlar.
|
||
|
||
### S: Breach detection'ı kapatırsam ne olur?
|
||
|
||
**C:** Kullanıcılar zayıf veya daha önce ihlal edilmiş şifreler kullanabilir, bu da hesap güvenliğini tehlikeye atar. Production ortamında **kesinlikle önerilmez**.
|
||
|
||
### S: Test için hızlı bir çözüm var mı?
|
||
|
||
**C:** Evet, test için şu şifreyi kullanabilirsiniz: `TestPassword123!` (Bu şifre henüz ihlal edilmemiş olmalı)
|
||
|
||
### S: Kullanıcılarıma nasıl yardımcı olabilirim?
|
||
|
||
**C:** Sign-up formunuzda şifre gereksinimlerini açıkça belirtin:
|
||
- "Şifreniz en az 8 karakter olmalı"
|
||
- "Büyük harf, küçük harf, rakam ve özel karakter içermelidir"
|
||
- "Daha önce başka sitelerde kullanmadığınız bir şifre seçin"
|
||
|
||
## Ek Kaynaklar
|
||
|
||
- [Clerk Password Settings Documentation](https://clerk.com/docs/authentication/configuration/password-settings)
|
||
- [OWASP Password Guidelines](https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html#implement-proper-password-strength-controls)
|
||
- [Have I Been Pwned](https://haveibeenpwned.com/) - Şifrenizin ihlal edilip edilmediğini kontrol edin
|
||
|
||
## Özet
|
||
|
||
1. **En İyi Çözüm:** Güçlü, benzersiz bir şifre kullanın
|
||
2. **Geliştirme İçin:** Clerk Dashboard'dan breach detection'ı kapatabilirsiniz
|
||
3. **Production İçin:** Breach detection'ı mutlaka açık tutun
|
||
4. **Kullanıcı Deneyimi:** Sign-up formunda şifre gereksinimlerini açıkça belirtin
|
||
|
||
---
|
||
|
||
**Not:** Bu rehber, LetsGoCappadocia uygulamasında Clerk kimlik doğrulama sistemi kullanılırken karşılaşılan şifre güvenliği sorunlarını çözmek için hazırlanmıştır.
|