Comercial e Empresarial
Proteja sua empresa contra criminosos cibernéticos.
Iniciar Teste GrátisO que é um Ataque de força bruta?
- Ameaças
- O que é um Ataque de força bruta?
O que é um Ataque de força bruta?
Força bruta é um tipo de ataque cibernético que usa métodos de tentativa e erro para adivinhar credenciais de login, chaves de segurança ou outras informações confidenciais. Ataques de força bruta são surpreendentemente efetivos, especialmente considerando que cerca de 65% das pessoas reutiliza senhas. Reutilizar senhas é uma prática perigosa e comum, e uma senha comprometida é o que basta para expor um sistema inteiro ou um grupo de credenciais.
Ataques de força bruta são perpetrados contra empresas e indivíduos, pois, infelizmente, até mesmo funcionários reutilizam senhas. O custo médio de um ataque cibernético bem-sucedido está na casa dos milhões de dólares, e os ataques de força bruta estão ficam mais comuns à medida que mais empresas adotam práticas de trabalho de casa de forma permanente.
Como os ataques de força bruta funcionam
Os ataques de senha de força bruta funcionam usando um software para "adivinhar" credenciais. Por meio de tentativa e erro, os ataques de força bruta inserem frases de dicionário comuns, senhas comumente usadas ou combinações específicas de letras e números até conseguirem uma correspondência.
Tipos de ataques de força bruta
Ataques de força bruta simples
Os ataques de força bruta simples usam tentativa e erro para tentar diferentes combinações para adivinhar credenciais de login. O atacante usará um computador potente para tentar cada combinação de letra, número e símbolo. Apesar de parecer ineficiente, alguns computadores conseguem processar trilhões de combinações de uma vez.
Ataques de dicionário
Ataques de dicionário aproveitam palavras ou frases simples de dicionário para quebrar credenciais de usuário. É aconselhável não usar palavras ou frases que podem ser encontradas em um dicionário, pois um ataque de força bruta de dicionário poderá encontrá-las e quebrar a senha.
Ataques de força bruta híbridos
Usando lógica externa, o software adivinha que senhas terão o maior sucesso e, em seguida, usa a força bruta para aplicar cada combinação.
Ataques de força bruta reversos
Este método depende de algumas senhas comuns selecionadas. Listas de senhas comuns são fáceis de encontrar on-line. Eis uma lista de 10.000. Um ataque de força bruta reversa usa uma lista como essa para inserir essas senhas comuns em várias contas, torcendo para encontrar uma correspondência.
Sobrecarga de credenciais
A sobrecarga de credenciais é um dos métodos de força bruta mais efetivos. Listas com senhas anteriormente violadas podem ser compradas na dark web e os criminosos cibernéticos as usam para "sobrecarregar" credenciais em dezenas de sites para ver se há uma correspondência. Com frequência, os usuários não mudam as senhas em todas as contas, mesmo que tenham sido anteriormente violadas.
Por que os ataques de força bruta são uma ameaça
Os ataques de força bruta são uma ameaça cibernética especialmente perigosa porque permitem que um criminoso cibernético force o caminho em várias contas ao mesmo tempo. Métodos como sobrecarga de credenciais podem atacar milhares de contas ao mesmo tempo e, estatisticamente, pelo menos uma delas cederá às credenciais.
Quando as credenciais são verificadas, os criminosos cibernéticos podem obter acesso a uma infinidade de contas, de redes sociais a contas bancárias e contas governamentais e empresariais com informações confidenciais.
Como o trabalho remoto aumentou os ataques de força bruta
A pandemia da COVID-19 forçou milhares de empresas a adotar modelos de trabalho de casa até segundo aviso. Isso serviu como um dos maiores experimentos comerciais na história. Empresas que nunca tinham dado suporte a um modelo de trabalho de casa enfrentaram um grande dilema: adaptar-se ou perecer. E, na verdade, milhares de empresas pereceram, e aquelas que não enfrentaram novos desafios na forma de crimes cibernéticos.
De janeiro a dezembro de 2020, os ataques de força bruta cresceram de cerca de 200.000 para mais de 1,4 milhão no mundo inteiro. Com as empresas essencialmente testando os modelos de trabalho em casa, isso criou a oportunidade perfeita para que os criminosos cibernéticos tirassem vantagem de desktops remotos não protegidos e práticas ruins de gerenciamento de senhas.
Como evitar ataques de força bruta
Utilize ferramentas automatizadas
Você pode evitar ataques de força bruta com ferramentas automatizadas sofisticadas. As empresas já estão enfrentando ataques de força bruta e outras ameaças de malware usando essas ferramentas. À medida que a detecção de ameaça fica mais sofisticada, ela depende mais da tecnologia de IA paara detectar, evitar e remover ameaças antes que elas causem danos.
A proteção de bots pode ajudar a monitorar o tráfego da web em busca de atividades suspeitas e bloquear usuários quando há suspeita de um ataque. Os bots também podem prever atividade suspeita, como várias tentativas de login, e alertar a vítima antes que um ataque seja concluído.
Os ataques de força bruta são simples, mas frequentemente efetivos, especialmente se o indivíduo ou a empresa não tem as proteções certas em vigor.
Remova contas inativas
Quando um funcionário sai da empresa, é importante remover inteiramente a conta dele para evitar logins não autorizados. Mesmo se a conta de um funcionário está desativada, ela ainda age como um possível ponto de entrada para os criminosos cibernéticos. Contas inativas devem ser encerradas assim que possível e suas credenciais apagadas do sistema.
Exija A2F/AVF em todas as contas
A autenticação de vários fatores ou de dois fatores pode ser a salvação em um ataque de força bruta. Quando uma senha é usada de um dispositivo estranho ou não documentado, ela dispara um passo de autenticação extra. Isso pode envolver um texto ou um link de verificação via e-mail, uma entrada biométrica ou algum outro método. Isso adiciona uma camada extra de proteção para todas as contas.
As ferramentas de A2F e AVF são frequentemente integradas nas plataformas de gerenciamento de senhas e outras ferramentas de segurança cibernética. Os administradores de sistemas devem considerar exigir AVF ou A2V em todas as contas do sistema para adicionar uma camada importante de segurança.
Limite as tentativas de login
Os ataques de força bruta dependem de várias tentativas de login. A invasão de força bruta é limitada quando só pode fazer um número limitado de tentativas. Três tentativas de login é um bom ponto inicial. É o suficiente para deixar espaço para alguém que errou genuinamente as informações de login e baixo o suficiente para bloquear possíveis ameaças antes que a senha seja quebrada. Depois de três tentativas fracassadas, bloqueie uma conta inteiramente e exija que um administrador restaure o acesso depois de verificar a identidade do usuário.
Regule os logins
Você também pode desacelerar as tentativas de login, exigindo uma contagem regressiva entre logins fracassados. Combinado com um limite de logins, esse método pode impedir um ataque de força bruta depois de três tentativas e limitar a rapidez com que o criminoso cibernético pode inserir informações. Isso ajuda também a sinalizar atividades suspeitas ao administrador.
Certifique-se de que suas senhas sejam complexas e únicas
Ao garantir que usa senhas complexas únicas para todas as suas contas, você dificulta que um criminoso cibernético adivinhe suas senhas. Certifique-se de sempre utilizar senhas complexas que incluam letras, números e símbolos. Quanto mais complexa, melhor.
Você pode usar uma ferramenta geradora de senhas para ajudá-lo a gerar senhas complexas únicas para todas as suas contas.
