GUID: Segurança Computacional

Ataque de Força Bruta
A maneira mais certeira de se obter senhas.

Bruno Figueiredo 12/01/2017





Ataques de Força Bruta são, sem dúvidas, a maneira mais certeira de se descobrir determinada senha. Consiste em testar todas as combinações de caracteres possíveis (para aquele campo de formulário), portanto, é matematicamente infalível.

Para ilustrar o ataque, vamos pensar em um exemplo bastante simples: Imagine um campo de senha que exige que você selecione 4 números [de 0 a 9]. Sem dúvidas, essa é uma senha “ridícula” e pode ser facilmente quebrada através de um ataque de força bruta. Basta que o software teste as combinações: 0000, 0001, 0002, ..., 1111, 1112, 1113, ..., 9998, 9999. Em uma dessas tentativas, a senha será descoberta.

Porém, quando você permite que sejam inseridas letras e caracteres especiais, sua senha se torna cada vez mais difícil de ser descoberta, especialmente se você aumenta a quantidade de caracteres permitidos de 4 para 16.

Os computadores modernos, apesar de serem capazes de realizar quantidades gigantescas de cálculos por segundo, teriam que passar anos para descobrir uma senha como essa através da tentativa e erro, e esse é um dos fatores que desestimulam os criminosos de usarem esse ataque.

Ataques de Dicionário

Semelhante ao ataque de força bruta, porém, mais otimizado (embora seja menos certeiro), o ataque de dicionário consiste em testar diversas palavras de um dicionário combinadas ou não com números e caracteres especiais.

Se sua senha é uma combinação de caracteres que não formam palavras, você já está protegido contra esse tipo de ataque.

Como Prevenir

A seguir preparei algumas dicas de como prevenir sua aplicação desses ataques:

  • Use Captcha: Captchas servem para identificar se o usuário que faz a requisição é um humano ou um robô (leia nosso artigo sobre Captcha).
  • Memorize e use senhas complexas: use senhas com caracteres sem relação aparente. Que não formem palavras nem nomes próprios. Evite, ainda, sequências numéricas.
  • Limite a quantidade máxima de erros seguidos: bloqueie a tela de login para um usuário que errar a senha mais que X Isso evita que o ataque seja realizado por um robô.

Conclusão

Criar uma aplicação capaz de realizar esse tipo de ataque é relativamente simples. Você só precisa descobrir a quantidade mínima e máxima de caracteres permitidos no campo de senha que você pretende atacar e os caracteres especiais que são permitidos. Se você tem essas informações, criar o software fica fácil.

Embora matematicamente certeiro, o Ataque de Força Bruta é um velho conhecido dos profissionais de segurança da informação que, certamente, já aplicaram técnicas de prevenção na maioria dos grandes sites da internet.

Lembre-se de deixar o seu Like e de compartilhar esse artigo com todos os seus amigos. Assim você estará nos ajudando e nos incentivando a manter esse projeto.




Comentários