Olá, Kangaroozinho, como vai? Neste artigo nós vamos falar sobre o Ataque de Força Bruta, o que é, como ele funciona, e como você pode prevenir que isso aconteça em suas aplicações. Este artigo pode conter informações mais técnicas, por isso, é essencial que leia com atenção.
O que é o ataque de força bruta
O ataque de força bruta, também conhecido como brute force (do inglês), é um dos ataques mais comuns contra sistemas e aplicações. Esse ataque é tão comum, que você mesmo já pode ter acabado praticado, mesmo que sem essa intenção, alguma vez na sua vida.
Esse ataque pode ser praticado por qualquer usuário, mesmo aqueles sem qualquer tipo de conhecimento em programação ou desenvolvimento. Embora um usuário sem experiência não deva conseguir aplicar esse ataque na mesma proporção de um usuário malicioso com conhecimento, é importante dar esse exemplo pra você ter uma ideia do quão comum são tentativas de força bruta.
Como funciona:
O ataque de força bruta acontece quando um (ou vários) usuário(s) tentam, indefinidamente, acessar uma conta testando várias senhas diferentes, ou em alguns casos, tentam a mesma senha com vários usuários diferentes.
Por padrão, esse ataque tem muito mais chances de dar certo quando esses usuários mal intencionados obtêm dados à partir de vazamentos, onde eles podem obter senhas que são, ou foram usadas em outras plataformas, sites, etc. Mas é claro que não se limita a isso, pois, só de um usuário saber o seu login (usuário), ele pode realizar essas tentativas.
E você pode se perguntar “Mas isso deve dar uma trabalho absurdo para uma pessoa ficar tentando várias senhas diferentes”, e de fato, realmente daria um trabalho absurdo se essas ações fossem realizadas apenas e somente por pessoas, mas atualmente, esses usuários maliciosos simplesmente configuram bots para realizar milhares de testes em pouquíssimo tempo.
Mesmo com bots, isso não é uma garantia que o usuário malicioso conseguirá acesso a essa(s) conta(s), porém, se a conta em questão tiver senhas fracas, como uma sequência de números, usar a data de nascimento, o próprio nome na senha, etc., tudo isso pode aumentar as chances dos bots conseguirem acertar a senha.
Como evitar que sua conta seja invadida
Acima, uma imagem da nossa ferramenta Gerador de senhas Facilita, que gera senhas aleatórias de acordo com sua preferência (Essa ferramenta não armazena nenhuma informação).
Assim como esses ataques são extremamente simples, também é tão simples o quanto se defender destes. As recomendações sempre são usar senhas fortes, jamais incluir coisas simples ligadas a você, como seu nome, data de nascimento, etc., sempre usar caracteres especiais e usar senhas grandes, com pelo menos 12-14 caracteres, o que dificulta ainda mais para esses bots.
É claro que só isso pode não ser o suficiente, embora uma senha forte, que contém caracteres minúsculos, maiúsculos, números e sinais (geralmente distribuídos), com pelo menos 14 caracteres leve em torno de centenas de milhões de anos, devido a quantidade de combinações possíveis, sabemos que muitos usuários tendem a usar senhas mais simples, que podem memorizar mais facilmente, ou até mesmo com significados.
Talvez você se lembre quando algumas plataformas adicionavam um campo para “Dica” da senha do usuário, e eu nem preciso dizer o quão isso não é recomendado, ainda mais nos dias de hoje, onde isso reduziria imensamente a quantidade de possibilidades para o bot. Sendo assim, se alguma plataforma te der essa opção, evite.
Como uma última dica, quando possível, sempre utilize aplicativos de autenticação de dois fatores (2FA), isso aumenta drasticamente a segurança das suas contas. Pense comigo, mesmo que um usuário, através de força bruta, vazamentos ou qualquer outra situação, acabe descobrindo os dados de sua conta, ele ainda não conseguirá acessá-la, já que será solicitado o código no seu aplicativo de autenticação.
Conclusão
Para concluir, segurança é e sempre será um dos tópicos mais importantes em qualquer área, e com os seus dados de acesso não é diferente, por isso, sempre tome bastante cuidado, e siga as práticas mais recomendadas. Jamais compartilhe seus dados de acesso, sempre tome cuidado com os links que acessa e arquivos que baixo. e sempre que possível, ative a autenticação de dois fatores (2FA).
Se você gostou deste artigo, considere dar uma olhada em outras publicações de nosso time de suporte aqui em nossa base de conhecimento.