O que são ataques de força bruta? Como se proteger contra eles

Se você leu artigos de segurança ou ouviu falar sobre violações importantes, provavelmente já ouviu o termo "ataque de força bruta". Mas você pode não saber exatamente o que isso significa.

Vamos examinar o que é um ataque de força bruta, como eles normalmente funcionam e como você pode ficar protegido contra eles.

Noções básicas de ataques de força bruta

Em um nível fundamental, um ataque de força bruta é realmente simples. A força bruta de uma senha se refere a adivinhar todas as combinações possíveis até que você finalmente descubra. E embora você possa fazer isso manualmente, obviamente se torna tedioso em pouco tempo.

Assim, na maioria dos ataques básicos de força bruta, um programa de computador tenta adivinhar uma senha ou uma chave de criptografia iterando todas as combinações possíveis para um determinado número de caracteres.

Por exemplo, digamos que você escreveu um utilitário que tentou usar a força bruta em uma senha de quatro números para o iPhone. Ele começaria adivinhando 0000 , depois 0001 , 0002 , 0003 e assim por diante até chegar a 9999 .

O mesmo princípio funciona com senhas mais complicadas. Um algoritmo de força bruta tentando quebrar uma senha com seis caracteres alfanuméricos pode começar com aaaaaa , aaaaab , aaaaac e assim por diante. Em seguida, ele incluiria números (e possivelmente maiúsculas), como aabaa1 , aabaa2 , aabaa3 e muito mais. Isso iria passar por todas as combinações possíveis de seis caracteres de números e letras, até zzzzzz , zzzzz1 e além.

Há também uma técnica relacionada conhecida como ataque reverso de força bruta, em que você tenta uma senha comum contra muitos nomes de usuário diferentes. Isso é menos comum e mais difícil de usar com sucesso, mas contorna algumas contramedidas comuns (que discutiremos em breve).

Relacionado: O que é pulverização de senha e como ela pode ser usada contra você?

Claramente, essa não é uma maneira elegante de adivinhar uma senha. Em teoria, se você tivesse tempo e capacidade de computação suficientes, poderia adivinhar qualquer senha usando a força bruta. Mas se você está tentando quebrar qualquer coisa que não seja uma senha curta e simples, os ataques de força bruta são ineficientes. Levaria anos e toneladas de poder de computação para aplicar força bruta em uma senha forte.

Como era de se esperar, os esquemas de quebra de senha se tornaram mais sofisticados do que isso.

Ataques de força bruta avançada

Como os ataques de força bruta são limitados quando usados ​​contra qualquer coisa, exceto senhas simples, os hackers têm maneiras de melhorá-los.

Um ataque de dicionário, por exemplo, não se limita a iterar todas as combinações possíveis de caracteres. Em vez disso, ele usa palavras, números ou sequências de caracteres de uma lista pré-compilada – geralmente tirada de algo como uma lista de senhas comumente vazadas. Como essas senhas são tão comuns, é provável que forneçam entrada em outras contas.

Leia mais: Erros comuns de senha que provavelmente farão com que você seja hackeado

Por exemplo, um ataque de dicionário pode tentar uma série de senhas comuns , como "senha", "123456", "letmein" e assim por diante, antes de entrar em um ataque de força bruta padrão. Ou pode adicionar o ano atual ao final de todas as senhas que tenta antes de passar para a próxima senha.

Ataques de dicionário reduzem bastante as raras combinações de senhas. Isso faz sentido – para uma senha básica de oito caracteres, é mais provável que alguém use "dogs1234" do que "zp1vg8el". Concentrando-se primeiro nas combinações mais prováveis, você pode reduzir o tempo gasto durante o uso de força bruta.

Existem vários métodos de uso de ataques de força bruta, mas todos eles dependem da tentativa de um grande número de senhas o mais rápido possível até que a correta seja encontrada. Alguns requerem mais poder de computação, mas economizam tempo. Outros são mais rápidos, mas requerem uma quantidade maior de recursos durante o ataque.

Onde os ataques de força bruta são perigosos

Em teoria, os ataques de força bruta podem ser usados ​​em qualquer conta ou outra plataforma que tenha uma senha ou uma chave de criptografia. Mas muitos lugares onde eles poderiam trabalhar geralmente têm contramedidas eficazes contra eles, conforme examinado a seguir.

Você corre o maior perigo de um ataque de força bruta se perder seus dados e um agente malicioso se apossar deles. Quando algo está no computador de outra pessoa, algumas das proteções em vigor em sua máquina ou online podem ser contornadas.

Como um canalha pode colocar seus dados em seu computador? Você pode perder uma unidade flash quando ela cair do bolso. Talvez você deixe seu telefone em uma viagem de Uber. Um serviço de nuvem invadido pode expor alguns de seus arquivos para outras pessoas, ou malware pode copiar seus dados para o computador de outra pessoa sem o seu conhecimento.

A questão é que, embora os ataques de força bruta não sejam eficazes em alguns lugares, ainda existem maneiras de os hackers implantá-los contra seus dados. Para evitar situações em que um ataque de força bruta pode quebrar proteções em seus dados, você deve acompanhar de perto onde seus dispositivos e arquivos estão.

Proteção contra ataques de força bruta

Existem várias defesas que os sites e outras ferramentas usam contra ataques de força bruta, bem como maneiras de se proteger deles.

Como os serviços protegem contra ataques de força bruta

Uma das proteções mais simples e mais comumente usadas é o bloqueio. Com isso, se você digitar uma senha incorreta um certo número de vezes, a conta se recusa a aceitar mais tentativas de login. Para tentar novamente, você precisa entrar em contato com o serviço de atendimento ao cliente ou aguardar um certo tempo.

Isso interrompe um ataque de força bruta em seu caminho – em vez de tentar milhares de combinações em minutos, ter que esperar 10 minutos ou uma hora para continuar tentando deterá um possível hacker.

Os sites também podem impedir ataques de força bruta com um desafio CAPTCHA ou similar. Ter que preencher um CAPTCHA toda vez que você quiser tentar uma senha retarda muito o processo, frustrando o ponto.

Nenhum desses métodos funcionará contra um ataque reverso de força bruta, no entanto. Esses ataques só falham em um teste de senha uma vez para cada conta, o que provavelmente não será suficiente para acionar a proteção.

É importante notar que, embora essas táticas sejam ótimas para evitar ataques de força bruta, elas também fornecem outras maneiras de atacar um site. Por exemplo, se um ataque de força bruta for lançado contra um site que bloqueia contas após cinco tentativas incorretas, sua equipe de atendimento ao cliente pode ser inundada com chamadas de usuários legítimos, tornando suas operações mais lentas.

Sobrecarregar um local com tentativas de força bruta também pode ser empregado como parte de um ataque distribuído de negação de serviço .

Como se proteger contra ataques de força bruta

A autenticação de dois fatores é uma maneira poderosa de se proteger contra ataques de força bruta, tanto padrão quanto reverso. Com a autenticação de dois fatores (2FA), mesmo que um hacker adivinhe a senha correta, ter que inserir outro código impedirá que um invasor obtenha acesso à sua conta.

De longe, porém, a maneira mais fácil de se proteger contra um ataque de força bruta é usar uma senha longa. À medida que o comprimento de uma senha aumenta, a capacidade computacional necessária para adivinhar todas as combinações de caracteres possíveis aumenta exponencialmente.

Considere o exemplo de senha do iPhone anterior. As versões mais antigas do iOS usavam um PIN de quatro dígitos, que tem 10.000 combinações possíveis. As versões modernas do iOS, no entanto, usam uma senha de seis dígitos por padrão. Isso aumenta o número de combinações possíveis para um milhão.

Em qualquer dos casos, é improvável que alguém seja capaz de aplicar força bruta na senha do seu iPhone, em parte graças ao bloqueio que ocorre após algumas suposições erradas. Mas você pode ver que, adicionando apenas mais dois dígitos, o fator de proteção aumenta 100 vezes.

Além do comprimento, as senhas complexas também são muito mais difíceis de usar com força bruta. Se alguém quisesse quebrar uma senha e soubesse que ela só tinha letras minúsculas, poderia pular muitas combinações possíveis. Mas o mesmo comprimento de senha com números, letras maiúsculas e símbolos inseridos aumentaria o tempo para força bruta da senha em várias ordens de magnitude.

Use senhas seguras – idealmente com um gerenciador de senhas para que você não tenha que se lembrar de todas elas – e você estará quase imune a ataques de força bruta. Uma senha de 12 caracteres que usa letras maiúsculas e minúsculas, números e um conjunto de 18 símbolos teria mais de 68 sextilhões de possibilidades. Isso levaria séculos para obter força bruta.

Ataques de força bruta podem ser eficazes em alguns casos

Esses tipos de ataques são simples e deselegantes – afinal, o nome é "força bruta" por um motivo. Agora que você sabe como funcionam os ataques de força bruta e como se proteger contra eles, não precisa se preocupar muito.

Use senhas fortes e não deixe seus dados irem para um lugar onde não estejam protegidos por contramedidas de força bruta. Não se esqueça de que existem outras maneiras de comprometer as senhas.