← Tüm terimler
Kimlik Bilgisi Doldurma (Credential Stuffing)

Kimlik Bilgisi Doldurma (Credential Stuffing) Nedir?

Kimlik bilgisi doldurma, bir ihlalde sızan kullanıcı adı-parola çiftlerini başka sitelerde deneyerek parola tekrarını büyük ölçekte istismar eden bir saldırıdır.

Son güncelleme: 15 Temmuz 2026

Kimlik Bilgisi Doldurma Nasıl Çalışır

Kimlik bilgisi doldurma, zaten var olan verilerle başlar: geçmiş ihlallerde açığa çıkan milyarlarca kullanıcı adı ve parola çifti, saldırganlar arasında serbestçe dolaşır. İnsanların büyük bir bölümü aynı parolayı birden çok serviste kullandığı için, saldırgan bir siteden çalınan listeyi alıp bu çiftleri tamamen alakasız başka bir servisin oturum açma sayfasında aynen deneyebilir.

Bu deneme otomatik ve dağıtıktır. Botlar her oturum açma girişiminin farklı bir adresten gelmesi için vekil sunucu ağları arasında dönüşümlü çalışır, gerçek tarayıcıları taklit eder ve basit hız sınırlarının altında kalacak şekilde denemelerini yayar. Saldırgan aslında hiç parola tahmin etmez; her deneme, bir yerde geçerli olduğu bilinen bir kombinasyonu kullanır. Bu yüzden yüzde olarak küçük görünen başarı oranları, geniş bir kullanıcı tabanında binlerce ele geçirilmiş hesaba dönüşür.

Neden Önemli

Kimlik bilgisi doldurma, internetteki en yüksek hacimli saldırılardan biridir; çünkü ucuzdur, hedefte herhangi bir güvenlik açığı gerektirmez ve parola sızdıran her yeni ihlalle ölçeklenir. İşletmeler için doğrudan maliyetler hesap ele geçirme dolandırıcılığı, çalınan sadakat bakiyeleri ve destek yükünü; dolaylı maliyetler ise hesabı kilitlenen müşterileri ve meşru oturum açmaları gölgede bırakabilen bot trafiğinin altyapıya bindirdiği yükü kapsar.

Kurumsal kimlik tarafında risk daha da büyüktür. Kurumsal parolasını ihlale uğramış bir tüketici sitesinde tekrar kullanan bir çalışan, saldırganlara e-postaya, VPN’e veya SaaS uygulamalarına açılan çalışır durumda bir yol vermiş olur. Kamuoyuna yansıyan birçok kurumsal ihlal, teknik bir istismarla değil, bu yolla elde edilen tek bir geçerli kimlik bilgisiyle başlamıştır.

Kimlik Bilgisi Doldurmaya Karşı Nasıl Savunulur

En etkili tek kontrol çok faktörlü kimlik doğrulamadır: ikinci bir faktör istendiğinde tekrar oynatılan parola işe yaramaz; geçiş anahtarları gibi oltalamaya dirençli yöntemler ise paylaşılan sırrı tamamen ortadan kaldırır. Yeni ve mevcut parolaların bilinen ihlal listelerine karşı taranması, kullanıcıların zaten dolaşımda olan kimlik bilgilerini seçmesini engeller.

Tespit tarafında kimlik bilgisi doldurmanın tanınabilir bir deseni vardır: yükselen oturum açma hatası oranları, dönüşümlü adreslerden denenen çok sayıda kullanıcı adı ve otomasyon izlenimi veren istemcilerden gelen girişler. Bu sinyaller belirdiğinde kimlik doğrulamayı kademelendiren veya trafiği engelleyen risk temelli kontroller, normal kullanıcılara sürtünme eklemeden saldırıyı köreltir; Monosign bu yaklaşımı, FIDO2 geçiş anahtarları dahil MFA üzerine uyarlanabilir kimlik doğrulama ve anomali sinyalleri ekleyerek uygular.

Sık sorulan sorular

Kimlik bilgisi doldurma, kaba kuvvet saldırısından nasıl farklıdır?
Kaba kuvvet, bir hesaba karşı çok sayıda kombinasyon deneyerek parolayı tahmin etmeye çalışır. Kimlik bilgisi doldurma tahmin etmez: başka servislerden çalınmış gerçek kullanıcı adı-parola çiftlerini tekrar oynatır ve parola tekrarına oynar. Bu, deneme başına verimi çok artırır ve tek hesaptaki basit başarısız giriş eşikleriyle yakalanmasını zorlaştırır.
MFA, kimlik bilgisi doldurmayı tamamen durdurur mu?
MFA, otomatik tekrar oynatmayı durdurur; çünkü geçerli parola tek başına artık erişim sağlamaz. Saldırganlar ikinci faktörü ele geçirmek için MFA yorgunluğu bildirimleri veya oltalama deneyebilir. Bu nedenle en kalıcı korumayı, ihlal edilmiş parola taramasıyla birlikte geçiş anahtarları gibi oltalamaya dirençli yöntemler sağlar.