Se você trabalha com TI, principalmente na parte de segurança, provavelmente já ouviu o termo “brute force”, que significa “força bruta”, em inglês. Mas, o que significa utilizar força bruta quando estamos falando de tecnologia?
Como funciona o brute force
Para exemplificar, vamos imaginar que você precise entrar em uma determinada sala, em mãos você possui três chaves que encaixam na fechadura, mas nenhuma delas abre a porta, mas ainda assim você precisa entrar. Existem dois modos de entrar na sala sem possuir a chave correta. A primeira é chamar um chaveiro para que ele abra a porta em questão, já a segunda, é utilizar força bruta e arrombar a porta.
O brute force em tecnologia tem o mesmo princípio e geralmente é aplicado para conseguir acesso a contas em determinado site, serviço, desktop ou servidor. A força bruta pode ser aplicada tanto manualmente quanto automaticamente, por meio de softwares.
Aplicação
- Manual: Funciona basicamente fazendo a tentativa de um login e senha preenchendo os campos de forma manual, digitando palavra por palavra e efetuando tentativas de login no serviço em questão.
- Automática: Um software é responsável por pegar palavras salvas em um arquivo, preencher os campos necessários e tentar efetuar login no serviço em questão.
Dicionários em ação
Palavras que são encontradas em dicionários podem ser utilizadas na técnica de brute force, pois, infelizmente, existem muitas pessoas que utilizam simples palavras para login e senha, assim como nomes simples, cidades, modelos de carro e etc.
Proteção contra brute force
Existe uma proteção contra técnicas de brute force que é bem simples. No caso de você ser um programador, é sempre bom utilizar funções que bloqueiam uma determinada conta após X tentativas de login e esta conta ser liberada para tentativas de login novamente após x minutos, assim, seu site, serviço, servidor e etc estará menos propício a ataques deste tipo.
Há programadores que efetuam o bloqueio da conta para um determinado IP, porém, esta técnica acaba sendo falha caso a pessoa que aplica o brute force utilize uma técnica chamada IP Spoofing.
Se você é usuário final (ou administrador de sistemas, redes e etc), não deixe se criar senhas seguras para dificultar ao máximo a técnica de brute force.
Caso você tenha alguma outra dica ou queira complementar com algo, deixe seu comentário!
9 Comentários
Utilizando criptografia MD5 é praticamente impossível computacionalmente decifra-lo.
Gostaria de saber se os servidores de e-mail atuais como gmail, hotmail tem mecanismos contra a tecnica de brute force ou se podemos habilitar isso. Obrigado
MD5 já está praticamente quebrada, existem diversos sites que é possivel “decifrar” um md5.
O recomendado é usar SHA1
Tanto o MD5 quanto o SHA1 são baseados em Message Digest, ambos tem certa vulnerabilidade, entretanto acredito ser dificil decifra-los.
Ano que vem será lançado o SHA-3 em substituição aos algoritmos de geração hash SHA-1 e 2.
@Luiz Henrique Santos
Praticamente todos os serviços de empresas de grande porte possuem segurança contra brute force.
A captcha é um dos métodos de segurança contra robôs que fazem brute force automatizado, mas não funciona para trabalhos manuais, porém deixa o trabalho do invasor mais demorado e chato.
Existem serviços que bloqueiam a conta por um determinado período para novas tentativas, ou liberam acesso somente após acessar um link enviado via e-mail
@ Tiago @ Ricardo
Na realidade nada é 100% seguro, do mesmo modo que a segurança aumenta, pessoas especializadas na quebra das mesmas criam novos métodos para quebrar tais seguranças, mas é claro que o uso de MD5, SHA ou qualquer método avançado de segurança evita a maioria dos ataques de quem ainda está aprendendo e se “aventura” na invasão de sistemas.
Basta um adolescente de 12 anos com um QI um pouco acima da média, muito tempo livre e o Google para que ele invada um sistema com vulnerabilidades antigas e conhecidas.
Pingback: Monitore sua rede contra intrusos com HIDS OSSEC! - 3Way Networks
Pingback: Você sabia? Sua senha pode ser descoberta em menos de um segundo por um computador caseiro! - Mestre da TI
Pingback: Tudo sobre cibersegurança para empresas: as melhores práticas para proteger seu negócio | Infomach
Olá.
Na busca por soluções para um problema de acesso perdido a minhas contas do gmail, me deparei com a descrição deste tipo de acesso forçado a contas (brute force). Pode ser minha salvação para recuperar o acesso a meus emails. Mediante as formas convencionais/oficiais de recuperação de senha esquecida, não tenho conseguido efetuar recuperação das minhas contas por motivo de um detalhe em particular: Cada uma das contas perdidas é email de recuperação da outra. Explico melhor: São 3 contas gmail, todas com verificação em duas etapas ativada, das quais perdi a ultima senha cadastrada (isso, 3 senhas novas perdidas simultaneamente). No processo de recuperação de senhas google, ao findar cada etapa para cada uma das contas, recebo uma mensagem da google pedindo para eu confirmar um código de verificação envido para os emails de recuperação de cada uma delas. Meu problema é que uma é conta de recuperação da outra. A conta 1 tem como email de segurança a conta 2, a conta 2 tem a conta 3 como segurança e a conta 3 tem a conta 1 como email de segurança. Um loop infinito e irrecuperável até então. Prestes ao desespero pois para este serviço do gmail, a goohole não oferece suporte humanizado.
me ajudem.