Segurança cibernética 
As principais ameaças cibernéticas enfrentadas pelo setor industrial são ransomwares, ataques à cadeia produtiva, ameaças internas, phishing e ataques de engenharia social. Em 2023, o setor
Publicado em abril 16, 2024
Ataques de força bruta são um dos métodos mais comuns utilizados por cibercriminosos para roubar credenciais de organizações. Para evitar ataques de força bruta, as organizações precisam aplicar o uso de senhas fortes e exclusivas, investir em um gerenciador de senhas empresarial, exigir que os funcionários habilitem a MFA, monitorem e limitem tentativas de login, implementar a autenticação sem senha e excluir contas inativas.
Continue lendo para saber mais sobre ataques de força bruta, seis maneiras pelas quais sua organização pode evitá-los e como detectá-los.
O que é um ataque de força bruta?
Um ataque de força bruta é um tipo de ataque cibernético que utiliza softwares para adivinhar credenciais por tentativa e erro. O software insere palavras e frases do dicionário comumente usadas ou combinações específicas de letras e números até obter uma correspondência. Ataques de força bruta podem comprometer facilmente contas que utilizam senhas fracas ou reutilizadas. Tipos comuns de ataques de força bruta incluem força bruta simples, preenchimento de credenciais, pulverização de senhas e ataques de dicionário.
Seis maneiras de evitar ataques de força bruta
Muitos funcionários recorrem à utilização de senhas fracas e fáceis de memorizar para “proteger” suas contas de trabalho, colocando sua organização em risco de ser vítima de ataques de força bruta bem-sucedidos. No entanto, há seis maneiras pelas quais as organizações podem minimizar o risco de ataques de força bruta.
1. Aplicar o uso de senhas fortes e exclusivas
A melhor maneira de evitar que ataques de força bruta comprometam as senhas de uma organização é aplicando o uso de senhas fortes e exclusivas. Senhas fortes devem ser longas e complexas para tornar difícil para cibercriminosos quebrá-las. Senhas exclusivas devem ser exigidas para cada conta para evitar que o preenchimento de credenciais comprometa várias contas.
As organizações também podem sugerir aos seus funcionários que utilizem frases de senha para proteger contas de trabalho. Uma frase de senha é uma sequência de palavras aleatórias e não relacionadas que podem ser utilizadas como senha. Como as frases de senha são longas e utilizam palavras aleatórias que não estão relacionadas entre si ou com o usuário, as técnicas de força bruta são menos eficazes para quebrá-las.
2. Invista em um gerenciador de senhas empresarial
Um gerenciador de senhas empresarial é uma ferramenta que permite a organizações e seus funcionários rastrear, armazenar, compartilhar, proteger e gerenciar todas as suas senhas. As senhas são armazenadas no cofre digitalmente criptografado de cada funcionário, que pode ser acessado apenas com sua senha principal forte. Um gerenciador de senhas pode identificar senhas fracas, o que incentiva os funcionários a fortalecê-las utilizando o gerador de senhas integrado. Um gerenciador de senhas permite que os administradores monitorem as práticas de senhas dos funcionários e apliquem o uso de senhas fortes e exclusivas para cada conta.
3. Exija que os funcionários habilitem a MFA
A autenticação multifator é um protocolo de segurança que exige que os usuários forneçam várias formas de autenticação para acessar suas contas. Quando a MFA estiver habilitada, os usuários devem fornecer suas credenciais de login juntamente com outro fator de autenticação, como biometria ou uma senha de uso único baseada em tempo (TOTP). A MFA fornece uma camada extra de segurança garantindo que apenas usuários autorizados possam acessar suas contas. Mesmo que uma senha seja comprometida por meio de um ataque de força bruta, cibercriminosos não poderão acessar a conta da vítima porque não poderiam fornecer o fator de autenticação adicional.
4. Monitore e limite as tentativas de login
As organizações precisam monitorar as tentativas de login de suas contas. Elas devem analisar o endereço IP que está tentando fazer login para confirmar que é de um usuário autorizado, e se o número de tentativas de login é incomum. Isso ajudará as organizações a detectar possíveis ataques de força bruta. As organizações podem colocar um temporizador entre cada tentativa de login para limitar a rapidez com que cibercriminosos podem inserir informações e alertar as organizações sobre atividades suspeitas. Elas também devem colocar um limite no número de tentativas de login. Ao limitar o número de tentativas de login, as organizações podem bloquear o software de um cibercriminoso de adivinhar as credenciais das contas da organização.
5. Implemente a autenticação sem senha sempre que possível
A autenticação sem senha é um método de autenticação que não utiliza senhas para verificar a identidade de um indivíduo. Em vez disso, ela utiliza identificadores biométricos, links mágicos ou passkeys. Como as senhas não são utilizadas na autenticação sem senha, ela é resistente a ataques de força bruta e de phishing.
6. Exclua contas inativas
As organizações devem excluir contas inativas para reduzir o número de possíveis pontos de entrada para cibercriminosos e reduzir sua superfície de ataque. Cibercriminosos podem executar ataques de força bruta para tentar adivinhar as credenciais de login de contas inativas e obter acesso não autorizado à rede da organização. Contas inativas devem ser eliminadas o mais rápido possível.
Como detectar ataques de força bruta
As organizações precisam monitorar as tentativas de login e a atividade de suas contas para ajudar a detectar quaisquer tentativas de ataque de força bruta. As organizações precisam observar os seguintes para detectar ataques de força bruta.
- Quantidade incomum de tentativas de login malsucedidas
- Tentativas de login a partir de endereços IP suspeitos
- Tentativas de login malsucedidas para várias contas a partir do mesmo endereço IP
- Atividade de conta estranha após o login bem-sucedido
Uma organização precisa monitorar as tentativas de login de suas contas para ver se um cibercriminoso está tentando adivinhar suas senhas. Se uma organização notar tentativas de login incomuns a partir de endereços IP suspeitos, ela pode bloquear os endereços IP de tentar fazer login e evitar ataques de força bruta bem-sucedidos.
Se uma organização notar uma atividade de conta estranha após um login bem-sucedido, um cibercriminoso pode ter adivinhado uma senha da organização e obtido acesso não autorizado à sua rede. As organizações precisam investigar se a atividade é de um usuário não autorizado. Se for, a organização precisa remover o acesso do usuário não autorizado e alterar a senha para essa conta imediatamente.
Utilize o Keeper® para evitar ataques de força bruta
Ataques de força bruta exploram senhas fracas para obter acesso não autorizado às contas e à rede de uma organização. No entanto, as organizações podem evitar facilmente ataques de força bruta investindo em um gerenciador de senhas. Um gerenciador de senhas ajuda as organizações a utilizar senhas fortes e exclusivas e MFA para proteger suas contas. Alguns gerenciadores de senhas ajudam as organizações a implementar a autenticação sem senha, como as passkeys.
O Keeper Password Manager utiliza segurança de confiança zero e criptografia de conhecimento zero para garantir que apenas usuários autorizados possam acessar o cofre de senhas de uma organização e mais ninguém. Ele dá às organizações visibilidade, controle e segurança completos sobre as práticas de senhas dos funcionários.
