Parola güvenliği, modern yazılım sistemlerinin en zayıf ama aynı zamanda en kritik halkalarından biridir. Bir sistem ne kadar iyi tasarlanmış olursa olsun, parolalar yanlış şekilde saklanıyorsa tüm mimari çöker. İşte bu noktada Argon2id, günümüzün en güvenli parola türetme algoritmalarından biri olarak öne çıkıyor.
Bu yazıda Argon2id’nin ne olduğunu, neden geliştiriciler ve güvenlik mühendisleri tarafından tercih edildiğini ve pratikte neden “varsayılan” seçim haline geldiğini mühendis bakış açısıyla ele alacağız.
Parolalar Neden Özel Bir Sorundur?
Parolalar:
- Kullanıcı tarafından seçilir (zayıf olabilir),
- Aynı parola farklı sistemlerde tekrar kullanılır,
- Veritabanı sızıntılarında toplu halde ele geçirilir.
Bu yüzden parolalar asla düz metin (plaintext) olarak saklanmaz. Bunun yerine tek yönlü hash fonksiyonları, salt (tuz) kullanımı ve yavaşlatılmış kaynak tüketen algoritmalar tercih edilir. Ancak klasik hash algoritmaları (MD5, SHA-256 gibi) parola saklamak için tasarlanmamıştır. GPU ve ASIC donanımlarında saniyede milyarlarca hash hesaplanabilir.
💡 Argon2'nin Doğuşu
Tam da bu yüzden Argon2 ortaya çıktı. Argon2, 2015 yılında düzenlenen Password Hashing Competition (PHC) yarışmasını kazanan parola türetme algoritmasıdır.
Argon2 Nedir?
Argon2 üç varyanttan oluşur:
- Argon2d: GPU saldırılarına karşı güçlü, ama yan kanal saldırılarına açık.
- Argon2i: Yan kanal saldırılarına dayanıklı, ancak GPU’ya karşı biraz daha zayıf.
- Argon2id: Her ikisinin dengeli ve güvenli birleşimi.
Bugün endüstri standardı olarak önerilen varyant Argon2id’dir.
Argon2id Nedir?
Argon2id, Argon2i ve Argon2d’nin avantajlarını birleştirir: İlk aşamada data-independent (yan kanal güvenliği), devamında data-dependent (GPU/ASIC direnci) bellek erişimi kullanır.
Bu sayede:
- Web uygulamalarında güvenle kullanılabilir,
- Cache-timing ve side-channel saldırılarına karşı korunur,
- Paralel donanımlarla brute-force saldırılarını ciddi şekilde zorlaştırır.
🛡️ OWASP Tavsiyesi
OWASP, RFC 9106 ve modern güvenlik rehberleri Argon2id’yi birincil öneri olarak listeler.
Argon2id’yi Güçlü Yapan Teknik Özellikler
1. Bellek (Memory) Tüketimi
Argon2id’nin en büyük silahı bellek kullanımıdır. Örneğin 64 MB – 256 MB RAM kullanımı, GPU’da binlerce thread çalıştırmayı ekonomik olmaktan çıkarır. GPU’lar çok hızlıdır ama bellek paylaşımı konusunda verimsizdir.
2. Ayarlanabilir Parametreler
Argon2id tamamen yapılandırılabilir:
- Memory Cost: Kaç MB RAM kullanılacak?
- Time Cost: Kaç tur hesaplanacak?
- Parallelism: Kaç çekirdek kullanılacak?
3. GPU ve ASIC Direnci
SHA-256 gibi algoritmalar donanımda “bedava” hızlanırken, Argon2id için özel ASIC tasarlamak pahalıdır ve bellek maliyeti saldırganı zorlar.
4. Yan Kanal (Side-Channel) Güvenliği
Web sunucularında paylaşımlı CPU ve cache üzerinde çalışan kodlar için yan kanal güvenliği kritiktir. Argon2id’nin tasarımı, cache timing saldırılarına karşı güvenli bir liman sunar.
Neden Hâlâ bcrypt veya PBKDF2 Değil?
| Algoritma | Modern Tehditlere Dayanım |
|---|---|
| MD5 / SHA | ❌ Tamamen güvensiz |
| PBKDF2 | ⚠️ Bellek kullanmaz |
| bcrypt | ⚠️ Bellek sınırlı |
| Argon2id | ✅ Güncel standart |
Argon2id Nerelerde Kullanılmalı?
- Web uygulamalarında kullanıcı parolaları
- API anahtarlarının türetilmesi
- Zero-trust mimariler
- Kimlik doğrulama servisleri
- Parola kasaları (password managers)
🚀 Aegis Vault ve Argon2id
Aegis Vault, verilerinizi korumak için Argon2id algoritmasını kullanarak brute-force saldırılarına karşı en üst düzey korumayı sağlar.
Sonuç: Varsayılan Seçiminiz Argon2id Olmalı
Bir güvenlik mühendisi gözüyle bakıldığında Argon2id: güncel tehdit modeline uygun, uzun vadede ölçeklenebilir ve donanım saldırılarına karşı dirençli bir çözümdür. Parola güvenliği “bir kere yapılıp unutulacak” bir konu değildir, ama doğru algoritmayı seçmek en büyük riski baştan ortadan kaldırır.