O que é um ataque de força bruta?

A força bruta é um método de ataque cibernético no qual os criminosos tentam descobrir as credenciais de login, testando repetidamente combinações aleatórias de caracteres até que alguma delas seja validada e eles consigam acesso à conta.

Os hackers usam a força bruta quando não possuem dados ou vulnerabilidades para basear seu ataque. Este é um dos métodos de ataque cibernético mais lentos e ineficientes. Embora os ataques de força bruta possam parecer simples, a falha em se defender contra eles pode resultar em problemas de segurança significativos. Se bem-sucedidos, esses ataques podem abrir caminho para ameaças mais graves, como ataques de ransomware e roubo de credenciais.

Que danos podem causar ataques de força bruta?

Os ataques de força bruta ganharam um impulso significativo com o desenvolvimento de hardware e software mais avançados, capazes de processar milhões de credenciais em segundos. Sua simplicidade não significa que eles sempre falham. Esse tipo de ataque pode ser usado para explorar sites ou contas mais vulneráveis, com senhas mais curtas.

Acessar uma única credencial, mesmo que isso leve horas, pode não parecer muito. No entanto, se a conta invadida for uma conta privilegiada com acesso a dados sensíveis e permissões para editar ou excluir esses dados, as outras contas não precisarão ser alvo de ataques de força bruta, e o acesso a elas também poderá ser controlado pela conta privilegiada comprometida. Este é o estágio inicial de uma violação de dados, que fornecerá as informações necessárias para a realização de outros ataques, como preenchimento de credenciais e pulverização de senhas.

Embora os ataques de força bruta não causem grandes prejuízos às organizações por si só, eles criam oportunidades para que outros ataques cibernéticos ocorram. Com as violações de segurança custando milhões de dólares às organizações todos os anos, torna-se importante eliminar quaisquer brechas que possam levar a uma delas.

Como funciona um ataque de força bruta?

Os ataques de força bruta operam com base no princípio de tentativa e erro exaustivos. Os atacantes usam softwares ou scripts automatizados para gerar um número massivo de tentativas sucessivas de senhas ou chaves de criptografia. Essas tentativas geralmente começam com as combinações mais simples e aumentam gradualmente em complexidade até que a senha ou chave correta seja descoberta, dando ao atacante acesso à conta.

Quais são os tipos de ataques de força bruta?

O processo de adivinhar as credenciais do usuário aleatoriamente é impraticável e sobrecarrega os sistemas utilizados para realizar ataques de força bruta. Isso pode ser simplificado com mais dados em posse do atacante. Dependendo do tipo de dados utilizados, os ataques de força bruta podem ser classificados em quatro tipos diferentes.

Ataque de dicionário: Se o atacante possuir um conjunto de frases comuns que as pessoas usam, ele pode usar esse conjunto primeiro antes de recorrer a sequências aleatórias geradas por computador. Como as pessoas tendem a usar coisas que conseguem lembrar facilmente como senhas, esse é um método muito mais fácil para restringir as credenciais.

Ataque de pulverização de senhas: Senhas comuns como "senha1234" também podem ter uma chance maior de serem as credenciais que o atacante precisa.

Quebra de credenciais: Em alguns casos, credenciais vazadas recentemente em grandes violações de dados podem ser utilizadas. Considerando sua relevância, elas têm uma probabilidade maior de serem usadas com frequência do que senhas comuns, mais antigas e já obsoletas.

Ataque de preenchimento de credenciais (credencial stuffing): Se um invasor conseguir quebrar as credenciais de um usuário em um serviço, ele tentará usar as mesmas credenciais em outros serviços. Isso ocorre porque as pessoas geralmente se lembram apenas de um conjunto específico de informações exclusivas e tendem a reutilizá-las para as senhas de todas as suas outras contas. Com esse método, um login bem-sucedido em um serviço pode comprometer vários outros, aumentando o impacto de uma única violação de segurança.

Qual a melhor proteção contra um ataque de força bruta?   

Como os usuários podem se proteger de ataques de força bruta?  

Você pode evitar que suas contas sejam alvo de ataques de força bruta implementando as seguintes medidas:

  • Use senhas complexas: Incentive ou exija o uso de senhas longas, complexas e difíceis de adivinhar. Isso inclui uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. Por exemplo, uma senha de seis caracteres que inclui números tem aproximadamente dois bilhões de combinações possíveis, que pode ser quebrada por uma rede de máquinas de quebra de senhas em apenas um dia. Aumentar para apenas 12 caracteres aumenta as combinações exponencialmente para cerca de 475 trilhões de combinações, o que levaria aproximadamente 7,5 milhões de anos para quebrar.

  • Utilize a autenticação multifator (MFA): A autenticação multifator (MFA) adiciona uma camada extra de segurança, exigindo que os usuários forneçam mais de uma forma de verificação antes de acessar uma conta ou sistema. Mesmo que uma senha seja comprometida, a MFA ajuda a mitigar o risco de acesso não autorizado.

  • Use um gerenciador de senhas: Ferramentas de gerenciamento de senhas podem criar e salvar dados de login robustos e individuais para todas as suas contas online, minimizando a probabilidade de usar as mesmas senhas repetidamente. Além disso, elas podem ajudar a gerenciar e preencher senhas automaticamente, impedindo que os usuários recorram a senhas fracas ou muito comuns .

Como as organizações podem proteger seus usuários de ataques de força bruta?  

As organizações podem implementar algumas medidas para proteger seus serviços e contas corporativas contra ataques de força bruta:

  • Implemente limitação de taxa e listas de bloqueio de IP: A implementação de limitação de taxa pode ajudar a prevenir tentativas de login automatizadas, restringindo o número de tentativas em um único endereço IP dentro de um período de tempo especificado. Esses endereços IP podem então ser adicionados a uma lista de bloqueio, impedindo-os de tentar fazer login novamente.

  • Use o CAPTCHA para bloquear scripts e bots: Implementar o CAPTCHA em formulários de login pode bloquear com eficácia scripts automatizados e bots usados em ataques de força bruta, garantindo que as tentativas de login exijam um esforço tão grande que se tornem impraticáveis para o atacante.

  • Monitore e analise as tentativas de login: Monitore e analise regularmente os registros em busca de padrões incomuns nas tentativas de login, como um grande volume de logins falhos a partir de um único endereço IP, localização ou conta alvo em um curto período de tempo.

  • Exija MFA para contas privilegiadas: Exigir MFA para contas privilegiadas garante a segurança delas mesmo que suas credenciais sejam vazadas em uma violação de segurança grave. Se a MFA não puder ser implementada para todos os seus usuários, o ideal é proteger suas contas administrativas para que elas não sejam comprometidas e afetem sua organização.

  • Implemente políticas de bloqueio de contas e atrasos progressivos: configure sistemas para bloquear automaticamente as contas de usuário após um determinado número de tentativas de login malsucedidas e atrasos, de forma que o invasor seja forçado a atacar outras contas. Isso ajuda a impedir que os invasores façam tentativas ilimitadas e retarda seu progresso.

Previna ataques de força bruta usando o ADSelfService Plus  

Para fortalecer sua defesa contra ataques de força bruta e outras ameaças cibernéticas, considere implementar o ManageEngine ADSelfService Plus, uma solução de segurança de identidade com MFA adaptável e um poderoso aplicador de políticas de senhas.

Ele integra MFA para seus usuários, dispositivos e aplicações, fornecendo uma camada extra de segurança e reduzindo significativamente o risco de acesso não autorizado. Ao implementar políticas de senhas fortes e granulares, habilitar MFA em endpoints e atuar como um gerenciador de senhas seguro, o ADSelfService Plus pode ajudar a proteger sua organização contra esses ataques cibernéticos, mantendo todo o processo fácil de usar. Além disso, você pode usar o Have I Been Pwned para garantir que os usuários não utilizem senhas comprometidas.

FAQ 

O que é um ataque de força bruta?  

Um ataque de força bruta é um método usado por hackers para quebrar senhas ou chaves de criptografia, tentando sistematicamente todas as combinações possíveis até encontrar a correta.

Quanto tempo dura um ataque de força bruta típico?

Considerando que uma senha típica tenha seis letras, um computador comum que tentasse 30 senhas por segundo levaria mais de dois anos. Adicionando cem GPUs para alimentar a máquina, ela poderia ser quebrada em três dias. Se o comprimento da senha aumentasse para 12 letras, levaria milhões de anos, tornando todo o processo impraticável.

Quais são os sinais de um ataque de força bruta?

Os sinais incluem um aumento repentino nas tentativas de login falhas, múltiplas tentativas de login a partir do mesmo endereço IP, padrões incomuns nos horários de login e bloqueios inesperados de contas.

Qual é a fraqueza de um ataque de força bruta?

Ataques de força bruta são demorados e exigem muitos recursos, especialmente contra senhas complexas ou chaves de criptografia. Eles dependem do poder computacional disponível para o atacante e são menos eficazes contra sistemas com políticas de senhas robustas e medidas de segurança como bloqueio de contas. Normalmente, para quebrar uma senha de seis letras em um segundo, são necessárias centenas de GPUs, que podem consumir mais energia do que um computador comum. Se aumentarmos a senha em apenas dois ou três caracteres, o processo levaria anos para ser concluído e exigiria uma fonte de alimentação constante para a máquina, o que é praticamente inviável.

Qual a diferença entre um ataque de força bruta e um ataque de dicionário?

Em um ataque de força bruta, todas as combinações possíveis de caracteres são testadas sistematicamente. Em contraste, um ataque de dicionário utiliza uma lista predefinida de frases comuns ou variações dessas frases para tentar obter acesso não autorizado. Ataques de dicionário geralmente são mais rápidos, mas dependem da premissa de que a senha correta esteja entre as entradas da lista do dicionário.

Qual a melhor proteção contra um ataque de força bruta?

A melhor proteção contra um ataque de força bruta é proteger suas senhas ou adicionar fatores de autenticação adicionais que possam proteger sua conta mesmo que a senha seja comprometida. Algumas medidas amplamente adotadas incluem:

  • Utilização de senhas complexas

  • Aplicar bloqueio de conta e atrasos em caso de falha de login.

  • Implementação de MFA para suas contas privilegiadas

  • Monitoramento e análise de tentativas de login para identificar um grande volume de logins falhos provenientes de um único endereço IP, localização ou conta alvo em um curto período de tempo.

  • Essas ferramentas podem ser usadas por desenvolvedores web para simular tentativas de ataque de força bruta em seus sites e aplicações, e então se proteger contra elas.

Quais ferramentas são usadas em ataques de força bruta?

Os atacantes costumam usar automações web como Selenium, cURL e PhantomJS. Algumas ferramentas famosas dedicadas a testar e realizar ataques de força bruta incluem:

  • BURP (Automatiza testes monótonos)

  • Hashcat (a melhor ferramenta de força bruta)

  • John the Ripper (ferramenta de força bruta de código aberto)

  • Callow (Ferramenta de força bruta fácil de usar)

  • Essas ferramentas podem ser usadas por desenvolvedores web para simular tentativas de ataque de força bruta em seus sites e aplicações, e então se proteger contra elas.

Artigo traduzido. Conteúdo original escrito por Ashwin Kumar.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil.