Kimlik Doğrulama Açıkları (Authentication Vulnerabilities)
Kimlik Doğrulama Açıkları, bir uygulamanın kullanıcı kimliğini doğrularken kullandığı mekanizmalardaki mantıksal veya teknik hatalardır. Bu zafiyetler, saldırganların parola kırma (Brute Force), sızdırılmış verileri kullanma (Credential Stuffing) veya oturumları çalma (Session Hijacking) gibi yöntemlerle yetkisiz erişim sağlamasına yol açar. OWASP Top 10 listesinde de kritik bir yer tutan bu açıklar, sadece giriş ekranını değil; oturum anahtarlarının (Token) yönetimini, çok faktörlü doğrulama (MFA) süreçlerini ve şifre sıfırlama mekanizmalarını da kapsayan geniş bir saldırı yüzeyi sunar.
Kaba Kuvvet(Brute Force) Saldırıları
Kaba Kuvvet (Brute Force) saldırıları, siber saldırganların doğru parolayı bulana kadar tüm olası kombinasyonları veya en çok kullanılan şifre listelerini (Sözlük Saldırısı) deneyerek sisteme sızmaya çalışmasıdır. Günümüzün yüksek işlem gücü karşısında sadece güçlü parola seçmek yeterli değildir. KVKK teknik tedbirleri kapsamında zorunlu olan Hesap Kilitleme (Account Lockout) politikaları, belirli bir yanlış denemeden sonra girişi dondurarak saldırganın sınırsız deneme avantajını elinden alır. Ancak, bu durumun bir DoS (Hizmet Aksatma) saldırısına dönüşmemesi için modern sistemlerde Kademeli Gecikme (Throttling) ve CAPTCHA gibi akıllı doğrulama yöntemleri tercih edilmektedir.