O que é um ataque de força bruta e como você pode evitá-lo?

Device hacking the computer through internet
Clique aqui para um resumo rápido
O que é um ataque de força bruta? Um resumo rápido

Um ataque de força bruta é uma tentativa de adivinhar um nome de usuário ou senha por tentativa e erro. O software de força bruta tenta fazer login em um serviço usando milhares, senão milhões, de combinações de caracteres. Alguns ataques de força bruta são mais complexos. Eles usam credenciais hackeadas antigas como base para a tentativa de força bruta.

Se você quiser se proteger desse tipo de ataque, eis o que você precisa fazer:

  1. Use senhas mais longas e complexas.
  2. Configure a autenticação multifator.
  3. Assine um gerenciador de senhas. Recomendamos 1Password. É seguro e acessível.
Visite 1Password

Se você quiser saber mais sobre como os ataques de força bruta funcionam e como se proteger, leia nosso artigo completo abaixo.

Você já se perguntou como os hackers colocam as mãos nas senhas de vítimas inocentes? Nem sempre é explorando as vulnerabilidades de segurança de uma grande plataforma. Às vezes, é tão simples quanto experimentar combinações de letras e números aleatórios. Isso é o que um ataque de força bruta faz.

Um ataque de força bruta é uma ação de “tentativa e erro” para adivinhar as credenciais de login de um usuário, ou seja, seu nome de usuário e senha. Essas tentativas são baseadas em um algoritmo que usa um dicionário ou uma lista de credenciais possíveis. O algoritmo tentará diferentes variações até encontrar um login bem-sucedido.

Esse é o básico – mas os ataques modernos de força bruta são muito mais complexos. Como eles funcionam, exatamente? E como você pode se proteger contra ataques de força bruta?

Como funcionam os ataques de força bruta?

Em sua forma mais simples, um ataque de força bruta tentará adivinhar uma combinação de nome de usuário e senha. Veja como os hackers geralmente fazem isso:

  1. Por meio da geração de credenciais, eles instruirão as ferramentas de ataque de força bruta a gerar combinações de credenciais entre os parâmetros definidos, como um comprimento de senha de mais de seis símbolos.
  2. O software irá gerar uma lista (muito) longa de combinações. Estamos falando de trilhões de opções.
  3. As ferramentas de ataque de força bruta tentarão fazer login em um serviço específico com cada combinação de credenciais individual. Todo esse processo pode levar dias, semanas ou meses, mesmo com um computador potente.

Se uma combinação de credenciais acabar desbloqueando uma conta, o ataque de força bruta foi bem-sucedido e o hacker tem acesso a essa conta.

Diferentes tipos de tentativas de força bruta

A explicação acima descreve uma tentativa hipotética de força bruta. Na vida real, no entanto, esses simples ataques de força bruta geralmente não são suficientes para hackear uma conta. Na maioria das vezes, um ataque de força bruta bem-sucedido precisa de uma combinação de diferentes tipos de tentativas. Listamos abaixo.

Infographic showing the types of Brute force attempts

1. Ataques básicos de força bruta

Tentativas básicas de hackear contas de pessoas funcionam com listas de credenciais geradas. Softwares como o Hydra geram combinações de credenciais, que podem ser testadas como nomes de usuário e senhas em diferentes plataformas. No entanto, esse tipo de tentativa de força bruta não é extremamente eficaz – e é fácil entender o porquê.

O número total de combinações de letras, números e símbolos em uma sequência de seis caracteres chega a trilhões. Acrescente a isso a distinção entre maiúsculas e minúsculas e o fato de que existem muitas senhas com mais de seis caracteres e você verá o problema. Mesmo para um computador, são muitas combinações aleatórias para experimentar.

Em suma, esses ataques básicos de força bruta não levarão os hackers muito longe.

2. Ataques híbridos de força bruta

Os ataques híbridos de força bruta adicionam regras lógicas à geração de credenciais. Os hackers podem fazer uma lista de nomes de usuário comuns e apenas tentar gerar credenciais para a senha, por exemplo.

Digamos que um hacker queira invadir a área de administração de um pequeno site. Em vez de gerar símbolos para o nome de usuário, eles criarão uma lista de opções como “admin”, “escritório” e o nome do proprietário do site.

O software tentará apenas preencher o campo de nome de usuário com opções dessa lista. Para o campo de senha, ele usará um ataque básico de força bruta para tentar quantas combinações forem necessárias para obter uma senha correta.

3. Ataque de força bruta reversa

Um ataque de força bruta reversa usará uma senha comum, como “12345” ou “senha”, e gerará nomes de usuário até encontrar um que se encaixe nessa senha. Obviamente, os hackers também podem combinar esses ataques reversos de força bruta com uma abordagem híbrida para serem mais eficientes.

Os ataques de força bruta reversa geralmente são executados em aplicativos ou sites sobre os quais um hacker já possui outros detalhes.

4. Ataques de dicionário

Os ataques de dicionário são como uma versão atualizada do ataque básico. Em vez de combinar todos os caracteres, os ataques de dicionário giram por meio de strings e frases que são comumente usadas em credenciais. Todos esses padrões comumente usados são coletados em um dicionário, que é então usado para tentativas de login. Exemplos seriam nomes para campos de usuário e cadeias de números para campos de senha.

As tentativas de força bruta do dicionário têm uma taxa de sucesso mais alta, mas são mais difíceis de configurar. Quanto mais informações os hackers puderem adicionar ao dicionário, melhor (e mais perigoso) ele ficará.

5. Reciclagem de credenciais

Um dos tipos de tentativa de força bruta mais eficazes é a reciclagem de credenciais. Isso acontece quando os hackers iniciam sua tentativa de força bruta com um banco de dados de credenciais roubadas que obtiveram de outro lugar, geralmente da dark web.

Se um hacker comprar um bot no Genesis Market, por exemplo, ele poderá descobrir que algumas credenciais não funcionam mais. Eles podem então usar força bruta para experimentar novas senhas para os nomes de usuário que já conhecem.

6. Ataque de força bruta da mesa arco-íris

Os ataques de força bruta da mesa arco-íris são um pouco mais complicados do que o seu ataque de força bruta médio. Para entendê-los, precisamos de um pouco mais profundidade sobre o assunto.

Os sites podem armazenar nossas senhas de três maneiras:

  • O texto simples é bastante perigoso, pois qualquer violação leva à perda direta de credenciais.
  • O texto criptografado é melhor, mas não perfeito, pois qualquer texto criptografado também pode ser descriptografado. O processo vai nos dois sentidos.
  • Hashes só funcionam em uma direção: você pode fazer hash de uma string de texto simples, mas não pode transformar um hash de volta em texto simples. Isso significa que, teoricamente, os hashes são um método infalível de armazenamento de credenciais.

Infelizmente, na prática, os hashes ainda podem ser descriptografados – e é nisso que um ataque de força bruta da mesa de arco-íris se concentra. A maioria dos algoritmos de hash (os programas que transformam senhas de texto simples em um hash) são otimizados para serem executados muito rápido, para que possam calcular o máximo de entrada possível. Usando essa falha de design, os hackers ainda podem tentar todas as senhas do mundo como um hash, até encontrarem a correta.

Para fazer isso com eficiência, os hackers usam uma tabela arco-íris. Estas são listas de hashes pré-computados que representam senhas usadas com frequência, como “senha”, “1234” ou “qwerty”. Se você tiver uma senha fraca como essa, é muito mais provável que você seja vítima de um ataque de força bruta, mesmo quando suas senhas são hash. No entanto, como exigem muito mais conhecimento em criptografia, não são tão comuns.

Quais são os perigos da força bruta?

Os ataques de força bruta colocam em risco a privacidade e a segurança das pessoas em todo o mundo. Eles são mais comuns do que você imagina. Em 2021, 23% das empresas rastreadas pela Verizon relataram ataques de força bruta.

Quando os hackers executam com sucesso uma tentativa de força bruta, isso pode causar muitos problemas diferentes. Para os indivíduos, as consequências podem incluir:

  • Conteúdo de spam postado em seus perfis de mídia social.
  • Perda de acesso à conta hackeada.
  • Violação de dados e conversas privadas.
  • Propagação de software malicioso ou golpes por meio da lista de contatos de uma pessoa.

Quando os ataques de força bruta atingem as contas dos desenvolvedores, as consequências são ainda mais graves. Você obtém todos os efeitos negativos da lista acima, multiplicados pelo número de usuários no aplicativo ou site desse desenvolvedor.

Como prevenir ataques de força bruta

Se você é um indivíduo preocupado com a privacidade que deseja ser protegido contra tentativas de força bruta, há várias coisas que você pode fazer:

Infographic showing examples of how to prevent Brute force attacks

  • Crie senhas mais longas. Quanto mais longa for uma senha, mais difícil será decifrar a força bruta. Cada tentativa de força bruta baseada na geração de credenciais precisa de um comprimento para as senhas geradas. Se sua própria senha for maior que, digamos, 15 ou 20 caracteres, é improvável que um ataque tenha como alvo você.
  • Crie senhas mais complexas. Se você apresentar diferentes tipos de caracteres em suas senhas, incluindo letras, números e símbolos, será mais difícil para os hackers adivinharem, mesmo quando usarem algoritmos.
  • Não use uma senha para mais de um serviço. Dessa forma, se os hackers atacarem uma de suas contas, os cibercriminosos não poderão usar essas mesmas informações para obter acesso a outras contas.
  • Habilite a autenticação multifator. Esta é uma camada extra de proteção em sua conta que requer uma segunda verificação antes que você possa fazer login – por exemplo, inserindo um código que você recebe por mensagem de texto. Com a autenticação multifator, mesmo que um hacker adivinhe sua senha, ele não terá acesso instantâneo à sua conta.
  • Use um gerenciador de senhas. Se você não quiser se preocupar em criar senhas longas e complexas para todas as suas contas, um gerenciador de senhas cuidará disso. Isso permitirá que você use senhas melhores sem ter que se lembrar de todas elas. Recomendamos pessoalmente o 1Password, pois é um serviço seguro e muito fácil de usar.

Melhore sua segurança on-line

Mesmo com as melhores senhas, suas credenciais ainda estão vulneráveis a violações. Coisas como campanhas de phishing e ataques man-in-the-middle são sempre possíveis. Se suas credenciais foram invadidas por outros meios, elas podem até ser usadas para tentativas de força bruta de preenchimento de credenciais. É por isso que é importante melhorar sua segurança online geral.

Se você deseja permanecer protegido online, deve ter cuidado ao clicar em links desconhecidos, ser cético em relação ao alcance de indivíduos desconhecidos e ficar longe de aplicativos ou sites obscuros.

Além disso, também recomendamos o uso de aplicativos de segurança especiais. Os que garantirão níveis mais altos de segurança online são uma boa VPN e um antivírus confiável. Isso protegerá sua conexão e protegerá você contra malware e vírus indesejados.

O que fazer quando você é alvo de um ataque de força bruta

Pode ser difícil dizer quando você é o alvo de um ataque de força bruta enquanto ele está acontecendo. Um forte indicador é se você receber vários e-mails da plataforma que uma tentativa de login ocorreu quando você não tentou fazer login. Além disso, no entanto, você provavelmente nem notará até que sua conta já tenha sido invadida.

Aqui está o que você pode fazer caso esteja na extremidade receptora de um ataque de força bruta:

  • Entre em contato com a plataforma em que sua conta está registrada. Se você tiver sorte, um representante irá ajudá-lo a congelar sua conta. Se a conta já foi comprometida e você não pode recuperá-la, eles podem remover a conta para que ninguém possa se passar por você.
  • Mude sua senha. Se você ainda tiver acesso à sua conta, altere sua senha para algo exclusivo e seguro. Isso tornará menos provável que o ataque de força bruta adivinhe com sucesso suas credenciais.
  • Configure a autenticação multifator, caso ainda não tenha feito isso. Isso garantirá que, mesmo que a tentativa de força bruta seja bem-sucedida, ela não dará aos invasores acesso à sua conta.

Como os ataques de força bruta podem ser usados para atingir praticamente qualquer pessoa, não há como ter certeza de que você não será um alvo. No entanto, com alterações regulares de senha e as dicas acima, você pode tornar muito mais provável que qualquer ataque de força bruta em andamento em sua conta falhe.

Proteção de força bruta para desenvolvedores

Se você estiver gerenciando um aplicativo ou site que armazena informações de login, é importante tomar algumas medidas para proteger seus usuários contra tentativas de força bruta. Aqui estão as melhores práticas para limitar as tentativas de força bruta em sua plataforma:

  • Limite as tentativas de login. Dessa forma, ataques de força bruta levarão muito mais tempo em seu site. A maioria dos hackers será desencorajada até mesmo de tentar um ataque de força bruta em um site com um número limitado de tentativas de login.
  • Habilite o captcha na sua página de login. Sabemos que isso pode incomodar alguns usuários, mas os captchas (aqueles pop-ups “provam que você não é um robô”) são alguns dos métodos mais confiáveis para evitar ataques de força bruta.
  • Configure senhas de uso único (OTPs). As OTPs são senhas de uso único necessárias para fazer login em serviços ou verificar transações. Eles são usados principalmente no setor financeiro. Não é a abordagem mais amigável para proteger uma plataforma online, mas se você lida com dados confidenciais (por exemplo, se você tem uma fintech) é algo a considerar.
Ataques de força bruta: perguntas frequentes

Esperamos que nosso artigo tenha respondido a todas as suas perguntas sobre ataques de força bruta. Se você ainda estiver querendo mais, verifique nossa seção de perguntas frequentes abaixo.

Um ataque de força bruta é uma tentativa de hacking que usa software especializado para adivinhar as credenciais do usuário. O software retira caracteres de um dicionário ou de uma lista de credenciais e os insere em uma página de login. Se você quiser saber mais sobre como isso funciona e como se proteger contra esse tipo de ataque, confira nosso artigo sobre ataques de força bruta aqui.

Infelizmente, ataques de força bruta funcionam. Em 2021, 23% das empresas pesquisadas pela Verizon relataram tentativas de força bruta em seu sistema. Dito isto, os ataques de força bruta levam muito tempo para hackear com sucesso as credenciais da conta. Isso os torna uma tarefa difícil, especialmente para cibercriminosos que não possuem computadores poderosos. Se você quiser saber mais sobre ataques de força bruta, leia nosso artigo “O que é um ataque de força bruta e como você pode evitá-lo?”.

Digamos que um cibercriminoso queira hackear contas de um pequeno site de comércio eletrônico com poucas medidas de segurança. Eles executarão software como o Hydra para gerar combinações de credenciais. Em seguida, o software inserirá essas combinações na página de login do site de comércio eletrônico. Quando ele atinge uma combinação que faz login com sucesso (lembre-se, isso pode levar semanas ou meses), ele notifica o cibercriminoso e este terá acesso ao site.

Sim, na maioria dos casos, ataques de força bruta são ilegais. Hackers éticos podem tentar um ataque de força bruta para descobrir explorações de segurança. Isso geralmente acontece em plataformas internas da empresa. No entanto, um ataque de força bruta que tenta roubar a credencial de alguém é ilegal.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.