← Tüm terimler
Kaba Kuvvet Saldırısı

Kaba Kuvvet Saldırısı Nedir?

Kaba kuvvet saldırısı, biri işe yarayana kadar parola kombinasyonlarını sistematik olarak dener; zayıf parolaları ve korumasız giriş noktalarını istismar eder.

Son güncelleme: 15 Temmuz 2026

Kaba Kuvvet Saldırıları Nasıl Çalışır

Kaba kuvvet saldırısı sistematik tahmindir: bir yazılım, bir tahmin tutana kadar hedef hesaba veya ele geçirilmiş parola verisine karşı aday parolalar dener. Çevrimiçi biçiminde tahminler web formu, VPN geçidi, SSH servisi veya uzak masaüstü gibi canlı bir giriş noktasına gönderilir. Çevrimdışı biçiminde ise saldırgan parola özetlerini zaten çalmıştır ve adayları kendi donanımında, deneme hızını hiçbir şeyin sınırlamadığı bir ortamda özetlere karşı test eder.

Saf, tüketici tarzda tahmin pratikte nadirdir. Saldırganlar tahminlerini akıllıca sıralar: yaygın parola sözlükleriyle, sızmış gerçek parolalarla ve sonuna yıl eklemek ya da harf-simge değişimleri gibi türetmelerle başlarlar. Modern donanım, zayıf özetleme şemalarına karşı saniyede milyarlarca adayı değerlendirebilir; bu yüzden kısa veya tahmin edilebilir parolalar dakikalar içinde düşerken uzun ve rastgele parolalar erişilmez kalır.

Neden Önemli

Kaba kuvvet gerçek ihlallerin temel taşlarından biri olmayı sürdürüyor; çünkü açıkta giriş yüzeyi her yerde: internete açık uzak masaüstü ve SSH servisleri, çevrimiçi olduktan dakikalar sonra sürekli taranıp saldırıya uğrar. Özellikle fidye yazılımı operatörleri, ilk tutunma noktalarını defalarca uzak erişim servislerini kaba kuvvetle zorlayarak elde etmiş ve o tek hesaptan yetki yükseltmiştir.

Çevrimdışı türü ise her veritabanı ihlalinin bedelini büyütür. Parola özetleri sızdığında geriye kalan tek savunma, her kullanıcının parolasının ve özetleme algoritmasının gücüdür. Zayıf özetlenmiş veya zayıf seçilmiş parolalar toplu halde kurtarılır ve başka servislere karşı kimlik bilgisi doldurma saldırılarını besleyerek zararı ihlal edilen sistemin çok ötesine taşır.

Kaba Kuvvete Karşı Nasıl Savunulur

Çevrimiçi kaba kuvvet, tahmini yavaş ve kârsız hale getirerek dizginlenir: başarısız girişlerde hız sınırlama ve kademeli gecikmeler, tekrarlanan başarısızlıklarda kilitleme veya ek doğrulama adımları ve RDP ile SSH gibi değerli servislerin doğrudan internet erişiminden çıkarılıp VPN veya erişim geçidi arkasına alınması. Çok faktörlü kimlik doğrulama, doğru tahmini tek başına yetersiz kılar; geçiş anahtarları ise tahmin edilebilir sırrı tamamen ortadan kaldırır.

Çevrimdışı kaba kuvvetin önlemi ihlalden önce alınır: parolaları modern ve kasıtlı olarak yavaş algoritmalarla özetleyin, göstermelik karmaşıklık yerine uzunluk isteyin ve seçimleri bilinen ihlal listelerine karşı tarayın. Yönetici ve servis hesaplarında ise kimlik bilgilerini kasaya alıp otomatik döndürmek, Monopam’ın yaptığı gibi, tahmin edilmeye en çok değecek parolaların uzun, rastgele ve kısa ömürlü olmasını güvence altına alır.

Sık sorulan sorular

Bir parolayı kaba kuvvetle kırmak ne kadar sürer?
Neredeyse tamamen uzunluğa, rastgeleliğe ve parolanın nasıl saklandığına bağlıdır. Hızlı özet algoritmalarına karşı sekiz karakterlik bir parola saatler içinde veya daha kısa sürede düşebilirken, on altı karakter ve üzeri rastgele bir parola cümlesi fiilen kırılamaz. Çevrimiçi saldırılar, hedef servis deneme hızını sınırladığı için çok daha yavaştır.
Hesap kilitleme yeterli bir koruma mı?
Tek başına yeterli değildir. Kilitleme, tek hesaba yönelik basit çevrimiçi tahmini durdurur; ancak çok sayıda hesaba yayılan parola püskürtmeye veya çalınmış özetlerin çevrimdışı kırılmasına karşı hiçbir şey yapmaz. Agresif kilitleme politikaları meşru kullanıcıları kilitlemek için de kötüye kullanılabilir. En iyi sonucu MFA, hız sınırlama ve ihlal edilmiş parola taramasıyla birlikte verir.