Um ataque de força bruta tenta milhões de nomes de usuário e senhas por segundo contra uma conta até atingir o ouro. Essa é a essência. No entanto, mesmo que esses ataques sejam simplistas, eles geralmente são bem-sucedidos.
Hoje vamos cortar o jargão para explicar o que é um ataque de força bruta, como funciona, se é legal e como se comporta nos sistemas de segurança atuais.
Como funciona um ataque de força bruta?
Os ataques de força bruta são simples em seu aspecto técnico e geralmente produzem ótimos resultados para os atacantes. Essencialmente, os maus atores usam ataques de força bruta para acessar contas online.
Os hackers favorecem esse tipo de ataque, pois requer pouco esforço de sua parte, permitindo que os computadores façam o trabalho. O trabalho consiste em adivinhar rapidamente o nome de usuário e a senha da conta à qual está tentando obter acesso não autorizado. Durante um ataque de força bruta, um programa de computador funciona cruelmente, tentando infinitas combinações de nomes de usuário e senhas até encontrar um ajuste.
Quão rápido é um ataque de força bruta?
A velocidade com que sua senha é quebrada depende de:
A força da sua senha.
O poder do computador do criminoso.
Aqui está um guia rápido para ambos
Velocidade dependendo da força da senha:
Programas de computador usados para ataques de força bruta podem verificar de 10.000 a 1 bilhão de senhas por segundo.
Existem 94 números, letras e símbolos em um teclado padrão. No total, eles podem gerar cerca de duzentos bilhões de senhas de 8 caracteres.
Quanto mais longa e aleatória for uma senha, mais difícil será decifrar. Uma senha de 9 caracteres que inclui um único caractere leva cerca de 2 horas para ser quebrada; um sem um personagem único dura apenas 2 minutos!
Em comparação, uma senha de 12 caracteres mistos levaria séculos para ser quebrada.
O take-away
Uma senha simples composta apenas por letras minúsculas produz muito menos combinações do que uma senha usando uma mistura de caracteres aleatórios – cerca de 300 milhões, para ser exato. Portanto, os computadores não precisam de muito esforço para adivinhar uma senha simples – 8,5 horas em um Pentium 100 e instantaneamente em um supercomputador.
(Um Pentium 100 pode tentar 10.000 senhas por segundo. Um supercomputador pode tentar 1.000.000.000 por segundo). Portanto, é melhor repensar sua senha.
Tipos de ataques de força bruta
Ataques de força bruta vêm em uma variedade de tipos e formas. Aqui estão alguns dos tipos de ataque de força bruta mais comuns que os hackers usam para obter acesso não autorizado a contas online.
Ataque de Força Bruta Simples
O ataque de força bruta simples, como o nome sugere, é o mais básico de todos os tipos. Durante esse ataque, o agente mal-intencionado tenta adivinhar a senha do usuário manualmente, sem o emprego de ferramentas de software. O invasor depende de testar senhas fracas e comumente usadas, como 123456, qwerty, password e password123. Infelizmente, o simples ataque de força bruta pode ser bastante eficaz, pois vimos repetidamente que muitas pessoas continuam usando senhas fracas e ruins para proteger suas contas online.
Ataque de dicionário
Embora um ataque de dicionário não se enquadre estritamente nos critérios para se qualificar como um ataque de força bruta, os dois estão intimamente relacionados. Simplificando, um ataque de dicionário é um método de tentar decifrar a senha experimentando um grande número de palavras comuns e suas variações. Para fazer isso, os hackers usam um software que pode fazer milhares de palpites a cada segundo usando bancos de dados de dicionários, daí o nome do ataque. Ao longo dos anos, os ataques de dicionário diminuíram em popularidade à medida que novos tipos de ataque ganharam destaque.
Ataque de Força Bruta Híbrida
Como o nome sugere, um ataque híbrido de força bruta combina um ataque de dicionário com um ataque de força bruta para uma melhor chance de sucesso. Muitas vezes, um ataque híbrido é utilizado quando o invasor já conhece o nome de usuário de sua presa.
A essência de um ataque híbrido é que ele é projetado para experimentar uma variedade de combinações de senhas incomuns, como MonkeyBig123. Na maioria dos casos, o invasor começa com uma lista de palavras e, em seguida, tenta trocar os caracteres e adicionar símbolos ou números especiais para obter o maior número possível de variações das palavras iniciais.
Ataque de Força Bruta Reversa
Pense em um ataque de força bruta reverso como um oposto polar de um ataque híbrido. Um ataque de força bruta reversa exige que o invasor conheça a senha de antemão e tente adivinhar o nome de usuário.
Os invasores que possuem uma senha – que provavelmente obtêm de bancos de dados vazados – a usam para rastrear os nomes de usuário associados a ela e combinar os dois.
Preenchimento de credenciais
O preenchimento de credenciais é o tipo de ataque que os maus atores realizam quando já têm um conjunto de nomes de usuário e senhas à sua disposição. Os hackers podem obter bancos de dados inteiros de credenciais de login roubadas e tentar aplicá-las à conta que estão tentando acessar. Esse tipo de ataque pode ser especialmente devastador se o usuário atacado reutilizar senhas em várias contas.
Ataque de tabela arco-íris
Um ataque de tabela arco-íris é um método de quebra de senha que emprega tabelas arco-íris para quebrar os hashes de senha em um banco de dados. Sites ou aplicativos não armazenam senhas em texto simples; em vez disso, eles criptografam senhas com hashes. Uma vez que a senha é usada para fazer login, ela é imediatamente convertida em um hash. Na próxima vez que o usuário fizer login usando suas senhas, o servidor verificará se a senha corresponde ao hash criado anteriormente. Se os dois hashes corresponderem, o usuário será autenticado. As tabelas usadas para armazenar hashes de senha são conhecidas como tabelas arco-íris.
Na maioria dos casos, o hacker que lança um ataque rainbow table precisaria ter a rainbow table à sua disposição. Muitas vezes, eles podem ser comprados na dark web ou roubados. Durante o ataque, os agentes mal-intencionados usam a tabela para descriptografar os hashes de senha e, assim, obter acesso a uma senha de texto simples.
Quais são os motivos por trás dos ataques de força bruta?
Ataques de força bruta são geralmente a primeira onda da ofensiva. Na maioria dos casos, os ataques de força bruta servem como uma forma de os invasores obterem um ponto de entrada não autorizado em uma rede. Assim que conseguirem o acesso desejado, os hackers irão implantar mais ataques de força bruta para atualizar os privilégios dentro da rede para que possam causar mais danos ou obter acesso a servidores e bancos de dados.
Um ataque de força bruta é ilegal?
A única vez que um ataque de força bruta é legal é se você estiver testando eticamente a segurança de um sistema com o consentimento por escrito do proprietário.
Na maioria dos casos, um ataque de força bruta é usado para roubar credenciais do usuário – dando acesso não autorizado a contas bancárias, assinaturas, arquivos confidenciais e assim por diante. Isso o torna ilegal.
Como evitar um ataque de força bruta
Empresas e indivíduos podem se proteger de ataques de força bruta de várias maneiras. O ponto crucial do ataque de força bruta é o tempo. Alguns ataques podem levar semanas ou até meses para serem bem-sucedidos. Assim, a maioria das estratégias utilizadas para se defender contra um ataque de força bruta envolve o aumento do tempo necessário para que um ataque bem-sucedido seja realizado.
Use senhas complexas e exclusivas
As senhas complexas são longas e incorporam uma variedade de símbolos especiais, números e letras maiúsculas e minúsculas. Uma senha forte e exclusiva usada para proteger um ponto de entrada pode levar centenas de anos para ser quebrada. Assim, é sempre recomendável usar uma senha com pelo menos 12 caracteres, com uma combinação saudável de números e símbolos especiais.
Além disso, lembre-se de nunca reutilizar senhas em várias contas. Isso aumenta as chances de ter suas contas invadidas. Pense em reutilizar senhas da mesma forma que usar uma única chave para trancar todas as portas. Se os agentes mal-intencionados puderem colocar as mãos na senha que você usa para proteger várias contas; eles obtiveram instantaneamente acesso a todas as suas contas.
Uma das melhores maneiras de criar senhas fortes e exclusivas é usar um gerador de senhas , projetado para criar senhas complexas e difíceis de decifrar sob demanda.
Configure o MFA sempre que possível
A autenticação multifator é uma camada extra de segurança que requer etapas adicionais para verificar a identidade do usuário. Hoje, a maioria dos serviços online oferece aos usuários uma maneira de configurar a MFA. Na maioria dos casos, o MFA funciona por meio de aplicativos autenticadores ou mensagens de texto. Com o MFA ativado em suas contas, mesmo que consigam obter seu nome de usuário e senha, os invasores não terão como ignorar uma etapa extra de autenticação sem acesso direto aos seus dispositivos.
Evite usar serviços que não protegem seus dados com criptografia
A criptografia é o padrão do setor quando se trata de proteção de dados. Qualquer provedor de serviços online respeitável garantirá que seus dados de usuário, incluindo nomes de usuário e senhas, sejam criptografados.
No entanto, muitas vezes ouvimos falar sobre como algumas plataformas online tomam o caminho mais fácil, não empregam medidas de segurança adequadas e armazenam senhas e outros dados valiosos em texto simples. Essas práticas de segurança são uma receita para o desastre.
Portanto, antes de se inscrever em qualquer novo serviço online, verifique se o provedor emprega criptografia e outras medidas de segurança cibernética para garantir a segurança dos dados de seus clientes.
Criptografia
Simplificando, a criptografia é um método de embaralhamento de dados para que apenas as partes autorizadas possam entender as informações. Os algoritmos de criptografia pegam dados legíveis, como senhas e nomes de usuário, e os alteram para parecerem aleatórios. O bom é que os dados criptografados, mesmo roubados, são inúteis para um agente mal-intencionado, a menos que tenham uma chave criptográfica, mas não são tão fáceis de obter.
Os gerenciadores de senhas usam criptografia de ponta a ponta, tornando-se um gerenciadores de senhas mais seguros.
Sistema de segurança profundo
A criptografia é apenas uma parte de uma estratégia de segurança, por isso é crucial inspecionar como todos os ingredientes são misturados. Quando um algoritmo incrível fica dentro de um sistema de alta defesa como o um gerenciador de senhas, um invasor não tem chance.
Na realidade, a criptografia é um sistema de defesa profundamente complexo construído de dentro para fora.
