O que é um ataque de força bruta?

Um ataque de força bruta consiste em uma tentativa de violar uma senha ou um nome de usuário, encontrar uma página da Web oculta ou descobrir uma chave usada para criptografar uma mensagem, usando uma abordagem de tentativa e erro e esperando que, em algum momento, seja possível adivinhá-la. Esse é um método de ataque antigo, mas ainda é popular e eficiente entre os hackers.

De acordo com o comprimento e complexidade da senha, isso pode levar de alguns segundos até muitos anos. Na verdade, a que alguns hackers visam os mesmos sistemas todos os dias por meses e até anos.

Ferramentas que auxiliam nos ataques de força bruta

Adivinhar a senha de um usuário ou site específico pode levar muito tempo, então os hackers desenvolveram ferramentas para agilizar esse trabalho.

Os dicionários são a ferramenta mais básica. Alguns hackers percorrem dicionários completos e agregam às palavras caracteres especiais e numerais, ou usam dicionários especiais de palavras, mas esse tipo de ataque sequencial é complicado.

Em um ataque padrão, o hacker escolhe um alvo e tenta possíveis senhas para esse nome de usuário. Eles são conhecidos como ataques de dicionário.

Assim como o nome sugere, um ataque de força bruta reverso inverte a estratégia de ataque, começando com uma senha conhecida, como senhas vazadas que estão disponíveis on-line, e pesquisam milhões de nomes de usuário até encontrar uma correspondência.

Também estão disponíveis ferramentas automatizadas que ajudam nos ataques de força bruta, com nomes como Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng e Rainbow. Muitas conseguem encontrar uma senha de uma palavra que consta no dicionário em um segundo.

Ferramentas como essas funcionam em vários protocolos de computador (como FTP, MySQL, SMPT e Telnet) e permitem que os hackers invadam modems sem fio, identifiquem senhas fracas, descriptografem senhas de um armazenamento criptografado e convertam palavras em leetspeak — por exemplo, "don'thackme” torna-se "d0n7H4cKm3” — executem todas as combinações possíveis de caracteres e usem ataques de dicionário.

Algumas ferramentas varrem as tabelas arco-íris pré-computadas procurando entradas e saídas de funções hash conhecidas. Esse é o método de criptografia baseado em algoritmos usado para converter senhas em séries longas e de comprimento fixo de letras e números.

A GPU acelera as tentativas de força bruta

A associação da CPU e da GPU (unidade de processamento gráfico) acelera o poder de computação, adicionando os milhares de núcleos de computação da GPU ao processamento para permitir que o sistema lide com várias tarefas simultaneamente. O processamento da GPU é usado para análise, engenharia e outras aplicações pesadas e pode adivinhar senhas cerca de 250 vezes mais rápido do que uma CPU sozinha.

Para colocar em perspectiva, uma senha de seis caracteres que inclui números tem aproximadamente 2 bilhões de combinações possíveis. Adivinhá-la com uma CPU avançada que testa 30 senhas por segundo leva mais de dois anos. Com a adição de uma única placa de GPU avançada, o mesmo computador pode testar 7.100 senhas por segundo e adivinhar a senha em 3,5 dias.

Medidas dos especialistas em TI para proteger senhas

Para dificultar os ataques de força bruta, os administradores do sistema devem garantir que as senhas de seus sistemas sejam criptografadas com as taxas de criptografia mais altas possíveis, como a criptografia de 256 bits. Quanto mais bits houver no esquema de criptografia, mais difícil será adivinhar a senha.

Os administradores também devem realizar o procedimento chamado "salt the hash", aleatorizando os hashes de senhas pela adição de uma sequência aleatória de letras e números (chamado salt) à própria senha. Essa sequência deve ser armazenada em um banco de dados separado, e recuperada e adicionada à senha antes que ela passe por hash. Ao fazer isso, os usuários com a mesma senha contam com hashes diferentes. Além disso, os administradores podem exigir uma autenticação em duas etapas e instalar um sistema de detecção de invasões que consiga detectar ataques de força bruta.

Limitar o número de tentativas também reduz a suscetibilidade a ataques de força bruta. Por exemplo, permitir três tentativas de inserção da senha correta antes de bloquear o usuário por vários minutos pode causar atrasos significativos e fazer com que os hackers procurem alvos mais fáceis.

Como os usuários podem fortalecer suas senhas

Quando possível, os usuários devem escolher senhas de 10 caracteres, incluindo símbolos ou números. Isso cria 171,3 quintilhões (1,71 x 10²⁰) de possibilidades. Usando um processador GPU que testa 10,3 bilhões de hashes por segundo, levaria cerca de 526 anos para descobrir a senha, embora um supercomputador pudesse fazê-lo em algumas semanas.

Nem todos os sites aceitam senhas tão longas, o que significa que os usuários devem escolher senhas complexas em vez de palavras únicas. É importante evitar as senhas mais comuns e mudá-las com frequência.

A instalação de um automatiza o gerenciamento de senhas, permitindo que os usuários acessem todas as suas contas fazendo login primeiro no gerenciador de senhas. Assim, eles podem criar senhas extremamente longas e complexas para todos os sites que visitam, armazená-las com segurança e depois só precisam se lembrar da senha do gerenciador de senhas.

Para testar a força de sua senha, visite https://password.kaspersky.com/pt/.

Artigos relacionados:

• O que é adware?
• O que é um cavalo de Troia?
• Fatos e perguntas frequentes sobre vírus de computador e malware
• Spam e phishing

Produtos relacionados:

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security para Mac
• Kaspersky Internet Security para Android