← Tüm terimler
Parola Püskürtme (Password Spraying)

Parola Püskürtme (Password Spraying) Nedir?

Parola püskürtme, az sayıda yaygın parolayı çok sayıda hesapta deneyerek kilitlenme eşiklerinin altında kalır ve kuruluştaki en zayıf kullanıcıları arar.

Son güncelleme: 15 Temmuz 2026

Parola Püskürtme Nasıl Çalışır

Parola püskürtme, klasik kaba kuvvet yaklaşımını tersine çevirir. Saldırgan tek bir hesaba binlerce tahmin yöneltmek yerine, mevsim ve yıl ya da şirket adı ve bir rakam gibi çok yaygın bir veya iki parolayı yüzlerce ya da binlerce hesapta dener. Tam bir tur tamamlandığında, kilitlenme gözlem penceresinin geçmesini bekler ve bir sonraki aday parolayı dener.

Bu yavaş ve sessiz desen, en yaygın savunmayı, yani birkaç başarısız denemeden sonra hesabın kilitlenmesini boşa çıkarmak için tasarlanmıştır. Her hesap yalnızca bir veya iki başarısız deneme görür; bu da kullanıcının yazım hatası gibi görünür. Saldırganlar kullanıcı adı listesini genellikle önceden, açık kaynaklardan veya tahmin edilebilir e-posta biçimlerinden derler ve eski protokoller gibi ek faktör istemeden parola kabul eden kimlik doğrulama uç noktalarını tercih ederler.

Neden Önemli

Parola püskürtme başarılı olur; çünkü yeterince büyük her kuruluşta mutlaka tahmin edilebilir parola kullanan biri vardır. Saldırganın tek bir isabete ihtiyacı vardır: geçerli tek bir posta kutusu veya VPN girişi, güvenilen bir adresten iş arkadaşlarını oltalamak, hassas yazışmaları okumak veya ağın derinliklerine ilerlemek için bir tutunma noktası sağlar. Devlet destekli gruplar da sıradan suçlular da püskürtmeyi ilk basamak teknik olarak kullanır; çünkü sessiz, ucuz ve güvenilirdir.

Saldırıyı günlüklerde küçümsemek de kolaydır. Başarısız denemeler çok sayıda hesaba ve çoğu zaman günlere ince ince yayılır; hesap başına kilitlenmelere odaklanan panolar olağandışı bir şey göstermez. Kuruluşlar çoğu zaman püskürtmeyi ancak ele geçirilen bir hesap oltalama postası göndermeye başladığında fark eder.

Parola Püskürtmeye Karşı Nasıl Savunulur

İlk adım, saldırganların gerçekten püskürttüğü parolaları yasaklamaktır: kullanıcıların öngörülebilir biçimde karşıladığı karmaşıklık kurallarına bel bağlamak yerine yaygın kalıpları, sözlük kelimelerini ve ihlal derlemlerinde geçen her parolayı engelleyin. Çok faktörlü kimlik doğrulama, doğru bir tahminin bile tek başına erişim sağlamamasını güvence altına alır; eski kimlik doğrulama protokollerinin kapatılması ise püskürtmenin tercih ettiği uç noktaları kapatır.

Tespit, hesapların içine değil hesaplar arasına bakmalıdır: birbiriyle ilişkili kaynaklardan benzer bir tempoyla başarısız olan çok sayıda farklı kullanıcı adı, püskürtmenin imzasıdır. Monosign’ın MFA ile birlikte yaptığı gibi riskli veya alışılmadık girişlerde gereksinimleri yükselten uyarlanabilir kimlik doğrulama, başarılı bir tahmini ihlale değil çıkmaz sokağa dönüştürür.

Sık sorulan sorular

Parola püskürtme ile kimlik bilgisi doldurma arasındaki fark nedir?
Parola püskürtme, tek bir kuruluşun çok sayıda hesabında az sayıda yaygın parolayı dener. Kimlik bilgisi doldurma ise gerçek sızmış kullanıcı adı-parola çiftlerini genellikle birçok serviste tekrar oynatır. Püskürtme zayıf parola seçimlerini, doldurma parola tekrarını istismar eder. İkisi de otomatiktir ve ikisi de öncelikle MFA ve güçlü parola taramasıyla engellenir.
Hesap kilitleme parola püskürtmeyi neden durdurmaz?
Kilitleme, başarısız denemeleri hesap başına sayar; püskürtme ise bir hesapta yalnızca bir iki başarısızlık bırakıp devam eder. Saldırgan bir sonraki parolayla döndüğünde gözlem penceresi çoğunlukla sıfırlanmış olur. Etkili tespit, bunun yerine çok sayıda hesap ve kaynak arasındaki başarısızlıkları ilişkilendirir.
Püskürtme saldırısı bir hesap ele geçirilmeden önce tespit edilebilir mi?
Evet. Hesaplar arası desen erken görünür: bir zaman penceresi içinde her biri bir veya iki kez başarısız olan çok sayıda kullanıcı adı ve çoğu zaman ortak bir altyapı izi. Bu desene ve eski uç noktalara yönelik kimlik doğrulama denemelerine uyarı tanımlamak, püskürtmeyi genellikle daha ilk turunda ortaya çıkarır.