O ataque de força bruta ainda é um dos métodos de cracking de senhas mais populares. No entanto, não é apenas para cracking de senha. Os ataques de força bruta também podem ser usados para descobrir páginas escondidas e conteúdo em uma aplicação web. Este ataque é basicamente "tentativas e erros" até que você tenha sucesso. Esse ataque leva muito mais tempo que outros, mas sua taxa de sucesso é maior. Vamos ver os ataques de força bruta e as ferramentas mais populares usadas em diferentes cenários para realizar ataques de força bruta para obter os resultados desejados. Saiba tudo, ou quase, o que você precisa para manter-se a salvo das ameaças mais comuns.
O que é um ataque de força bruta?
É chamado de ataque de força bruta quando um invasor usa um conjunto de valores predefinidos para atacar um alvo e analisa a resposta até que o ataque seja bem sucedido. O sucesso depende do conjunto de valores predefinidos. Se forem muitos valores, levará mais tempo, mas há uma melhor probabilidade de sucesso. O exemplo mais comum e fácil de entender de ataque de força bruta é o ataque do dicionário para quebrar a senha. Nele, o invasor usa um dicionário de senha que contém milhões de palavras que podem ser usadas como uma senha. Em seguida, o invasor tenta essas senhas uma a uma para autenticação. Se este dicionário contiver a senha correta, o atacante terá sucesso.
No ataque de força bruta tradicional, o atacante apenas tenta a combinação de letras e números para gerar senhas sequencialmente. No entanto, essa técnica tradicional levará mais tempo quando a senha for muito longa. Esses ataques podem levar vários minutos a várias horas ou vários anos, dependendo do sistema usado e do comprimento da senha.
Para evitar quebra de senha usando um ataque de força bruta, sempre se deve usar senhas longas e complexas. Isso dificulta o invasor de adivinhar a senha e os ataques de força bruta levarão muito tempo. Na maioria das vezes, os usuários do WordPress enfrentam ataques de força bruta contra seus sites. O bloqueio de conta é outra maneira de evitar que o invasor execute ataques de força bruta em aplicativos da web, ou seja, se "n" tentativas erradas forem feitas, bloqueia-se a senha. No entanto, para o software off-line, as coisas não são tão fáceis de proteger.
Da mesma forma, para descobrir páginas ocultas, o atacante tenta adivinhar o nome da página, envia pedidos e vê a resposta. Se a página não existir, mostrará a resposta 404 e, em caso de sucesso, a resposta será de 200. Desta forma, pode encontrar páginas ocultas em qualquer site.
A força bruta também é usada para quebrar o hash e adivinhar uma senha de um determinado hash. Neste, o hash é gerado a partir de senhas aleatórias e, em seguida, este hash é combinado com um hash de destino até o atacante encontrar o correto. Portanto, quanto maior o tipo de criptografia (criptografia de 64 bits, 128 bits ou 256 bits) usada para criptografar a senha, mais tempo demorará para quebrar o hash.
Ataque inverso de força bruta
Um ataque inverso de força bruta é outro termo que é associado à quebra de senha. É preciso uma abordagem inversa no cracking por senha. Nesse caso, o invasor tenta uma senha contra vários nomes de usuários. Se você conhece uma senha, mas não tem idéia dos nomes de usuários: neste caso, você pode tentar a mesma senha e adivinhar os diferentes nomes de usuário até encontrar a combinação correta.
Vimos neste artigo que ataque de força bruta é usado principalmente para cracking de senha. Ele pode ser usado em qualquer software, qualquer site ou qualquer protocolo, desde que não bloqueie as tentativas após logins/senhas inválidos.
As ferramentas mais usadas para esse tipo de ataque serão vistas neste artigo: Ferramentas para ataques de força bruta.