Ataque de força bruta: definição e exemplos

O que é um ataque de força bruta?

Um ataque de força bruta usa o método de tentativa e erro para adivinhar informações de login, chaves de criptografia ou encontrar uma página da Web oculta. Invasores trabalham com todas as combinações possíveis na esperança de acertar.

Esses ataques são feitos por "força bruta"; eles usam tentativas excessivamente fortes para tentar "forçar" a entrada em suas contas privadas.

Esse é um método de ataque antigo, mas ainda é popular e eficiente entre os hackers. De acordo com o comprimento e complexidade da senha, isso pode levar de alguns segundos até muitos anos.

De acordo com o comprimento e complexidade da senha, isso pode levar de alguns segundos até muitos anos. Na verdade, a que alguns hackers visam os mesmos sistemas todos os dias por meses e até anos.

O que os invasores ganham com ataques de força bruta?

Os atacantes de força bruta precisam fazer um pouco de esforço para que esses esquemas valham a pena. Embora a tecnologia torne as coisas mais fáceis, você ainda pode se questionar: por que alguém faria isso?

É assim que os invasores se beneficiam dos ataques de força bruta:

Lucrando com anúncios ou coletando dados de atividades.
Roubando dados pessoais e objetos de valor.
Espalhando malware para causar interrupções.
Sequestrando seu sistema para atividades maliciosas.
Arruinando a reputação de um site.

Lucrando com anúncios ou coletando dados de atividades

Os invasores podem ainda explorar um ou vários sites para ganhar comissões de publicidade. Formas populares de fazer isso incluem:

Colocar anúncios de spam em um site muito visitado para ganhar dinheiro cada vez que um anúncio é clicado ou visualizado pelos visitantes.
Rotear o tráfego de um site para sites de anúncios comissionados.
Infectar um site ou o dispositivo de visitantes com malware de rastreamento de atividades — o spyware. Os dados são vendidos para anunciantes sem seu consentimento para ajudá-los a melhorar seu marketing.

Roubando dados pessoais e objetos de valor

Invadir contas online pode ser como arrombar um cofre de banco: tudo, desde contas bancárias até informações fiscais, pode ser encontrado online.

Tudo o que é preciso é a oportunidade certa para um criminoso roubar sua identidade, seu dinheiro ou vender suas credenciais privadas para obter lucro. Às vezes, bancos de dados sensíveis de organizações inteiras podem ser expostos em violações de dados em nível corporativo.

Espalhando malware para causar interrupções só por prazer

Se um invasor quiser causar problemas ou praticar suas habilidades, ele pode redirecionar o tráfego de um site para sites maliciosos.

Também é possível infectar um site com malware oculto para ser instalado nos computadores dos visitantes.

Sequestrando seu sistema para atividades maliciosas

Quando uma máquina não é suficiente, os hackers recrutam um exército de dispositivos discretos chamados botnets para acelerar seus esforços. Malware pode se infiltrar no seu computador, seu dispositivo móvel ou em contas online e disseminar spam, phishing, ataques de força bruta aprimorados etc.

Se você não tiver um sistema antivírus, pode correr mais risco de infecção.

Arruinando a reputação de um site

Se você administra um site e se torna alvo de vandalismo, um cibercriminoso pode decidir infestar seu site com conteúdo obsceno. Isso pode incluir texto, imagens e áudio de natureza violenta, pornográfica ou racialmente ofensiva.

Tipos de ataques de força bruta

Cada ataque desse tipo pode usar métodos diferentes para descobrir seus dados confidenciais. Você pode estar exposto a qualquer um dos seguintes métodos populares:

Ataques de força bruta simples

Invasores tentam adivinhar logicamente suas credenciais sem assistência de ferramentas de software ou outros meios. Isso pode revelar senhas e PINs extremamente simples. Por exemplo, uma senha como "convidado12345".

Ataques de dicionário

Em um ataque padrão, o hacker escolhe um alvo e tenta possíveis senhas para esse nome de usuário. Eles são conhecidos como ataques de dicionário.

Embora nem sempre sejam ataques de força bruta, são frequentemente usados como um componente importante para a quebra de senhas. Alguns hackers percorrem dicionários completos e agregam às palavras caracteres especiais e numerais, ou usam dicionários especiais de palavras, mas esse tipo de ataque sequencial é complicado.

Ataques de força bruta híbrida

Esses invasores misturam meios externos com suposições lógicas para tentar invadir. Um ataque híbrido geralmente combina ataques de dicionário e de força bruta.

Esses ataques são usados para descobrir senhas que combinam palavras comuns com caracteres aleatórios. Um exemplo de ataque desse tipo incluiria senhas como SãoPaulo1993 ou Thor1234.

Ataques de força bruta reversa

Como o nome sugere, um ataque de força bruta reversa inverte a estratégia de ataque começando com uma senha conhecida. Então, os invasores procuram milhões de nomes de usuário até encontrarem uma correspondência.

Muitos desses criminosos começam com senhas vazadas que estão disponíveis online a partir de violações de dados existentes.

Preenchimento de credenciais

Se um hacker tem um conjunto de nome de usuário e senha que funciona em um site, ele tentará em muitos outros também. Como os usuários costumam reutilizar informações de login em vários sites, eles são os alvos exclusivos de um ataque como esse.

Ferramentas auxiliam ataques de força bruta

Adivinhar a senha de um usuário ou site específico pode levar muito tempo, então os invasores desenvolveram ferramentas para agilizar esse trabalho.

Ferramentas automatizadas ajudam com ataques de força bruta. Elas usam adivinhação em alta velocidade, projetada para criar todas as senhas possíveis e tentar usá-las.

O software de invasão de força bruta pode encontrar uma senha de uma única palavra do dicionário em um segundo.

Ferramentas como essas possuem soluções alternativas programadas para:

Trabalhar contra diversos protocolos de computador (como FTP, MySQL, SMPT e Telnet).
Permitir que invasores invadam modems sem fio.
Identificar senhas fracas.
Descriptografar senhas em armazenamento criptografado.
Traduzir palavras para leetspeak — por exemplo, "nãohackeie" vira "n40 HacK3i3".
Executar todas as combinações possíveis de caracteres.
Operar ataques de dicionário.

Algumas ferramentas verificam tabelas arco-íris pré-computadas à procura de entradas e saídas de funções de hash conhecidas.

Essas "funções de hash" são métodos de criptografia baseados em algoritmos usados para traduzir senhas em séries longas e de comprimento fixo de letras e números. Em outras palavras, as tabelas arco-íris removem a parte mais difícil do ataque de força bruta para acelerar o processo.

Velocidades da GPU para tentativas de força bruta

São necessárias toneladas de capacidade de processamento de computador para executar software de força bruta de senhas. Infelizmente, os invasores desenvolveram soluções de hardware para tornar essa parte do trabalho muito mais fácil.

Combinar a (CPU) e a unidade de processamento gráfico (GPU) acelera a potência de processamento. Ao adicionar milhares de núcleos de computação na GPU para processamento, isso permite que o sistema lide com várias tarefas ao mesmo tempo.

O processamento da GPU é utilizado para análise, engenharia e outras aplicações intensivas em computação. Os invasores usando esse método podem quebrar senhas cerca de 250 vezes mais rápido do que apenas com a CPU.

Então, quanto tempo levaria para quebrar uma senha? Para colocar em perspectiva, uma senha de seis caracteres que inclui números tem aproximadamente 2 bilhões de combinações possíveis.

Adivinhá-la com uma CPU avançada que testa 30 senhas por segundo leva mais de dois anos. Com a adição de uma única placa de GPU avançada, o mesmo computador pode testar 7.100 senhas por segundo e adivinhar a senha em 3,5 dias.

Passos para proteger senhas para profissionais

Para manter a si mesmo e sua rede seguros, você vai querer tomar suas precauções e ajudar os outros a fazer o mesmo. O comportamento do usuário e os sistemas de segurança de rede precisarão de reforço.

Para especialistas em TI e usuários em geral, você vai querer levar em consideração algumas dicas gerais:

Use um nome de usuário e senha avançados. Proteja-se com credenciais mais fortes do que admin e senha123 para impedir esses atacantes. Quanto mais forte for essa combinação, mais difícil será para alguém penetrá-la.
Remova quaisquer contas não utilizadas com permissões de alto nível. Estes são o equivalente cibernético de portas com fechaduras fracas que facilitam invasões. Contas abandonadas são uma vulnerabilidade que você não pode arriscar ter. Jogue-as fora o mais rápido possível.

Depois de dominar o básico, você vai querer reforçar a sua segurança e envolver os usuários.

Começaremos com o que você pode fazer no backend e depois daremos dicas para apoiar hábitos seguros.

Proteções passivas de backend para senhas

Alta taxa de criptografia: para dificultar o sucesso de ataques de força bruta, os administradores de sistema devem garantir que as senhas de seus sistemas sejam criptografadas com as mais altas taxas de criptografia possíveis, como a criptografia de 256 bits. Quanto mais bits houver no esquema de criptografia, mais difícil será adivinhar a senha.

Sal em hash: os administradores também devem distribuir os hashes de senha aleatoriamente adicionando uma sequência aleatória de letras e números (chamada de sal) à própria senha. Essa sequência deve ser armazenada em um banco de dados separado, e recuperada e adicionada à senha antes que ela passe por hash. Ao salgar o hash, usuários com a mesma senha têm hashes diferentes.

Autenticação de dois fatores (2FA): além disso, os administradores podem exigir autenticação em duas etapas e instalar um sistema de detecção de intrusão que detecta ataques de força bruta. Isso requer que os usuários sigam uma tentativa de login com um segundo fator, como uma chave USB física ou verificação de biometria de impressão digital.

Limitar o número de tentativas de login: isso também reduz a susceptibilidade a ataques de força bruta. Permitir três tentativas de inserção da senha correta antes de bloquear o usuário por vários minutos pode causar atrasos significativos e fazer com que os hackers procurem alvos mais fáceis.

Bloqueio da conta após muitas tentativas de login: se um invasor puder continuar tentando senhas indefinidamente mesmo após um bloqueio temporário, ele pode voltar a tentar. Bloquear a conta e exigir que o usuário entre em contato com o suporte de TI para desbloqueio irá desencorajar essa atividade. Temporizadores curtos de bloqueio são mais convenientes para os usuários, mas a conveniência pode ser uma vulnerabilidade. Para equilibrar isso, você pode considerar usar o bloqueio de longo prazo se houver tentativas excessivas de login malsucedidas após o bloqueio de curto prazo.

Taxa de aceleração de logins repetidos: você pode retardar ainda mais os esforços de um atacante criando um intervalo entre cada tentativa de login individual. Quando um login falha, um temporizador pode negar o acesso até que um curto período de tempo tenha passado. Isso deixará um tempo de atraso para a equipe de monitoramento em tempo real poder detectar e trabalhar para deter essa ameaça. Alguns invasores podem parar de tentar se a espera não valer a pena.

Captcha obrigatório após tentativas de login repetidas: a verificação manual impede que robôs forcem sua entrada em seus dados. O Captcha vem em muitos tipos, incluindo digitar texto em uma imagem, marcar uma caixa de seleção ou identificar objetos em imagens. Independentemente do que usar, você pode utilizá-lo antes do primeiro login e após cada tentativa falha para proteção adicional.

Use uma lista de bloqueio de IP para bloquear atacantes conhecidos. Certifique-se de que esta lista seja sempre atualizada por aqueles que a gerenciam.

Proteções ativas de suporte de TI para senhas

Educação de senha: o comportamento do usuário é essencial para a segurança da senha. Eduque os usuários sobre práticas seguras e ferramentas. Serviços como Kaspersky Password Manager permitem que os usuários salvem suas senhas complexas e difíceis de lembrar em um "cofre" criptografado, em vez de escrevê-las de forma insegura em notas adesivas. Como os usuários tendem a comprometer sua segurança em prol da conveniência, dê a eles as ferramentas convenientes que os manterão seguros.

Monitore as contas em tempo real para atividades estranhas: locais de login incomuns, tentativas excessivas de login etc. Trabalhe para encontrar tendências em atividades incomuns e tome medidas para bloquear possíveis atacantes em tempo real. Fique atento para bloqueios de endereço IP, bloqueio de conta e entre em contato com os usuários para determinar se a atividade da conta é legítima (se parecer suspeita).

Como os usuários podem fortalecer senhas contra ataques de força bruta

Como usuário, você pode fazer muito para apoiar sua proteção no mundo digital. A melhor defesa contra ataques de senha é garantir que suas senhas sejam o mais forte possível.

Ataques de força bruta dependem do tempo para quebrar sua senha. Portanto, seu objetivo é garantir que sua senha retarde esses ataques o máximo possível e se levar muito tempo para a violação valer a pena... a maioria dos invasores desistirá.

Aqui estão algumas maneiras de fortalecer senhas contra ataques de força bruta:

Senhas mais longas com tipos variados de caracteres

Quando possível, os usuários devem escolher senhas de 10 caracteres, incluindo símbolos ou números. Isso cria 171,3 quintilhões (1,71 x 1.020) de possibilidades.

Usando um processador de GPU que tenta 10,3 bilhões de hashes por segundo, quebrar a senha levaria aproximadamente 526 anos. No entanto, um supercomputador pode quebrá-la em algumas semanas.

Por essa lógica, incluir mais caracteres torna sua senha ainda mais difícil de se descobrir.

Elabore frases-senhas

Nem todos os sites aceitam senhas tão longas, o que significa que você deve escolher frases complexas em vez de palavras únicas. Ataques de dicionário são construídos especificamente para frases de uma única palavra e tornam uma violação quase automática.

Frase de acesso — senhas compostas por várias palavras ou segmentos — devem ser salpicadas com caracteres extras e tipos especiais de caracteres.

Crie regras para a construção de suas senhas

As melhores senhas são aquelas que você consegue lembrar, mas que não fazem sentido para mais ninguém que as leia.

Ao optar pela rota da frase de acesso, considere usar palavras truncadas, como substituir "wood" por "wd" para criar uma sequência que faça sentido apenas para você.

Outros exemplos podem incluir a eliminação de vogais ou o uso apenas das duas primeiras letras de cada palavra.

Afaste-se de senhas frequentemente usadas

É importante evitar as senhas mais comuns e mudá-las com frequência.

Use senhas únicas para cada site que você usa

Para evitar ser vítima de preenchimento de credenciais, você nunca deve reutilizar uma senha. Se você quer aumentar a sua segurança, use um nome de usuário diferente para cada site.

Você pode evitar que outras contas sejam comprometidas se uma das suas for invadida.

Use um gerenciador de senhas

Instalar um gerenciador de senhas como o Kaspersky Password Manager automatiza a criação e o acompanhamento das suas informações de login online. Isso permite que você acesse todas as suas contas ao fazer login no gerenciador de senhas primeiro. Você pode criar senhas extremamente longas e complexas para todos os sites que visita, armazená-las com segurança e só precisa se lembrar da senha principal.

Se estiver se perguntando "quanto tempo levaria para quebrar minha senha", você pode testar a força da sua frase de segurança em nosso Password Check.

Produtos relacionados: