Propaganda

Se você ler nossos artigos de segurança regularmente - como este sobre testando a força da senha Teste a força da sua senha com a mesma ferramenta que os hackers usamSua senha é segura? As ferramentas que avaliam a força da sua senha têm pouca precisão, o que significa que a única maneira de realmente testar suas senhas é tentar quebrá-las. Vamos ver como. consulte Mais informação - você provavelmente já ouviu a frase "ataque de força bruta". Mas o que exatamente aquilo significa? Como funciona? E como você pode se proteger contra isso? Aqui está o que você precisa saber.

Ataques de força bruta: o básico

Quando se trata disso, um ataque de força bruta é realmente simples: um programa de computador tenta adivinhar senha ou chave de criptografia, repetindo todas as combinações possíveis de um certo número de personagens. Por exemplo, digamos que você escreveu um aplicativo que tentou forçar brutalmente uma senha de iPhone com quatro números. Pode adivinhar 1111, depois 1112, 1113, 1114, 1115 e assim por diante até chegar a 9999.

instagram viewer
iphone-lockscreen

O mesmo princípio pode ser aplicado com senhas mais complicadas. Um algoritmo de força bruta pode começar com aaaaaa, aaaaab, aaaaaac e prosseguir para coisas como aabaa1, aabaa2, aabaa3, e assim por diante, através de todas as combinações de seis caracteres de número e letras até zzzzzz, zzzzz1 e além.

Há também uma técnica conhecida como ataque de força bruta reversa, na qual uma senha é tentada contra vários nomes de usuário diferentes. Isso é menos comum e mais difícil de usar com sucesso, mas contorna algumas contramedidas comuns.

Como você pode ver, esta é uma maneira bastante deselegante de adivinhar uma senha. No entanto, teoricamente, se você tivesse capacidade computacional e energia suficientes, poderia adivinhar qualquer senha. Mas se você estiver usando algo diferente de uma senha curta e simples, não precisará se preocupar com nada, pois a quantidade de poder de computação necessário para adivinhar uma senha mais longa exigiria uma quantidade enorme de energia e levaria anos para completo.

Ataques avançados de força bruta

Como os ataques de força bruta a qualquer coisa, exceto senhas muito simples, são terrivelmente ineficientes e demorados, os hackers criaram algumas ferramentas que as tornam mais eficazes.

Um ataque de dicionário, por exemplo, não apenas repete todas as combinações possíveis de caracteres; usa palavras, números ou seqüências de caracteres de uma lista pré-compilada que o hacker julgue ser pelo menos é um pouco mais provável que a média aparecer em uma senha (esse é o tipo de ataque com o qual você pode executar bastante simples software de teste de penetração de rede Como testar sua segurança de rede doméstica com ferramentas gratuitas de hackersNenhum sistema pode ser totalmente "à prova de hackers", mas os testes de segurança do navegador e as salvaguardas de rede podem tornar sua configuração mais robusta. Use essas ferramentas gratuitas para identificar "pontos fracos" em sua rede doméstica. consulte Mais informação ).

ataque de dicionário

Por exemplo, um ataque de dicionário pode tentar várias senhas comuns antes de entrar em um ataque de força bruta padrão, como “senha”, “minha senha”, “letmein” e assim por diante. Ou pode adicionar "2016" ao final de todas as senhas que ele tenta antes de passar para a próxima senha.

Existem vários métodos para usar ataques de força bruta, mas todos eles tentam um grande número de senhas o mais rápido possível até encontrar a correta. Alguns exigem mais poder de computação, mas economizam tempo; alguns são mais rápidos, mas exigem que uma quantidade maior de armazenamento seja usada durante o ataque.

Onde ataques de força bruta são perigosos

Os ataques de força bruta podem ser usados ​​em qualquer coisa que tenha uma senha ou chave de criptografia, mas em muitos lugares onde eles poderiam ser usados ​​e implementaram contramedidas eficazes contra eles (como você verá na próxima seção).

Você corre o maior risco de sofrer um ataque de força bruta se perder seus dados e um hacker se apossar deles - uma vez no computador, algumas das salvaguardas existentes em sua máquina ou on-line podem ser contornado.

Como um infeliz pode colocar seus dados no computador? Você pode perder uma unidade flash, talvez deixando-a no bolso de suas roupas que você enviou para uma lavanderia, como a 4.500 unidades flash encontradas em 2009 no Reino Unido. Ou, como os outros 12.500 dispositivos encontrados, você pode deixar um telefone ou laptop em um táxi. É uma coisa fácil de fazer.

encontrar telefone perdido

Ou talvez alguém tenha conseguido baixar algo de um serviço em nuvem porque você compartilhou um link encurtado e inseguro Os links encurtados comprometem sua segurança?Um estudo recente mostrou que a conveniência dos encurtadores de URL como bit.ly e goo.gl pode trazer um risco significativo à sua segurança. É hora de sair das ferramentas de encurtador de URL? consulte Mais informação . Ou talvez você tenha sido atingido por algum ransomware que não apenas bloqueou o computador, mas também roubou alguns dos seus arquivos.

O ponto de tudo isso é que os ataques de força bruta não são eficazes em alguns lugares, mas existem várias maneiras pelas quais eles podem ser implantados nos seus dados. A melhor maneira de impedir que seus dados cheguem ao computador de um hacker é acompanhar de perto onde estão seus dispositivos (especialmente pen drives!).

Proteção contra ataques de força bruta

Existem várias defesas que sites ou aplicativos podem usar contra ataques de força bruta. Um dos mais simples e mais comumente usado é o bloqueio: se você digitar uma senha incorreta, um certo várias vezes, a conta é bloqueada e você precisa entrar em contato com o atendimento ao cliente ou com o departamento de TI. departamento. Isso interrompe um ataque de força bruta.

Uma tática semelhante pode ser usada com um Desafio CAPTCHA Tudo o que você sempre quis saber sobre os CAPTCHAs, mas teve medo de perguntar [tecnologia explicada]Ame-os ou odeie-os - os CAPTCHAs tornaram-se onipresentes na Internet. O que diabos é um CAPTCHA de qualquer maneira, e de onde ele veio? Responsável pela fadiga ocular em todo o mundo, o humilde CAPTCHA ... consulte Mais informação ou outras tarefas semelhantes. Nenhum desses métodos funcionará contra um ataque de força bruta reversa, pois apenas falhará no teste de senha uma vez para cada conta.

Outro método que pode ser usado para impedir esses ataques (padrão e reverso) é autenticação de dois fatores O que é autenticação de dois fatores e por que você deve usá-laA autenticação de dois fatores (2FA) é um método de segurança que requer duas maneiras diferentes de provar sua identidade. É comumente usado na vida cotidiana. Por exemplo, pagar com cartão de crédito não exige apenas o cartão, ... consulte Mais informação (2FA); mesmo que um hacker adivinhe a senha correta, a exigência de outro código ou entrada interromperá um ataque, mesmo que adivinhe a senha correta. Felizmente, mais e mais serviços são incorporando 2FA Bloqueie esses serviços agora com autenticação de dois fatoresA autenticação de dois fatores é a maneira inteligente de proteger suas contas online. Vamos dar uma olhada em alguns dos serviços que você pode bloquear com melhor segurança. consulte Mais informação em seus sistemas. isto pode ser um aborrecimento A verificação em duas etapas pode ser menos irritante? Quatro Hacks Secretos Garantidos para Melhorar a SegurançaDeseja segurança da conta à prova de balas? Eu sugiro ativar a chamada autenticação de "dois fatores". consulte Mais informação , mas protegerá você contra muitos ataques.

Vale ressaltar que, embora essas táticas sejam ótimas para evitar ataques de força bruta, elas também podem ser usadas para atacar um site de outras maneiras. Por exemplo, se um ataque de força bruta for lançado contra um site que bloqueia contas após cinco tentativas incorretas, sua equipe de atendimento ao cliente pode ser inundada com chamadas, tornando o site mais lento. Também poderia ser empregado como parte de um ataque distribuído de negação de serviço O que é um ataque DDoS? [MakeUseOf explica]O termo DDoS passa despercebido sempre que o ciberativismo levanta sua cabeça em massa. Esses tipos de ataques são manchetes internacionais por várias razões. Os problemas que impulsionam esses ataques DDoS geralmente são controversos ou altamente ... consulte Mais informação .

teste de força da senha

De longe, a maneira mais fácil de se proteger contra um ataque de força bruta é usar uma senha longa. À medida que o comprimento de uma senha aumenta, o poder computacional necessário para adivinhar todas as combinações possíveis de caracteres aumenta muito rapidamente. Em um artigo sobre os riscos à segurança dos encurtadores de URL, os pesquisadores mostraram como os tokens de cinco, seis e sete caracteres eram fáceis de adivinhar, mas os tokens de 11 e 12 caracteres eram quase impossíveis.

Você pode aplicar a mesma lógica às suas senhas. Use senhas fortes 6 dicas para criar uma senha inquebrável que você possa lembrarSe suas senhas não forem únicas e inquebráveis, é melhor abrir a porta da frente e convidar os assaltantes para almoçar. consulte Mais informação , e você estará praticamente imune a ataques de força bruta.

Um ataque surpreendentemente eficaz

Por quão simples e deselegante é - afinal, é chamado de "força bruta" - esse tipo de ataque pode ser surpreendentemente eficaz para obter acesso a áreas criptografadas e protegidas por senha. Mas agora que você sabe como o ataque funciona e como se proteger, não deve se preocupar muito!

Você usa autenticação de dois fatores? Você está ciente de outras boas defesas contra ataques de força bruta? Compartilhe seus pensamentos e dicas abaixo!

Créditos de imagem: TungCheung via Shutterstock, cunaplus via Shutterstock.

Dann é consultor de estratégia e marketing de conteúdo que ajuda as empresas a gerar demanda e leads. Ele também bloga sobre estratégia e marketing de conteúdo em dannalbright.com.