O que é um Ataque de Força Bruta e Como Evitá-lo

Todos nós precisamos resolver CAPTCHAs de vez em quando, mas você já pensou qual é o objetivo desses testes, às vezes irritantes? E o que significa CAPTCHA? CAPTCHA significa Teste de Turing Público Completamente Automatizado para Diferenciar os Computadores dos Humans, e um de seus principais objetivos é impedir ataques bem-sucedidos de força bruta. Está na hora de fazer mais algumas perguntas.

O que é um ataque de força bruta?
Pense em uma fechadura de combinação. Você não sabe o código de quatro dígitos que a desbloqueia, então você tenta adivinhar. Você começa com "0000" e, se não funcionar, você tenta "0001", "0002", "0003", etc. até chegar à combinação que anula o bloqueio. Isso, em termos simples, é um ataque de força bruta, e o mesmo princípio pode ser aplicado às senhas.

Claro que não é tão fácil quanto parece. Normalmente, as senhas consistem em mais de quatro caracteres, e normalmente há letras nelas que, como descobriremos em um minuto, significam que o número de combinações possíveis é muito maior. Tudo somado, o ataque de força bruta, em sua forma tradicional, não é uma maneira brilhantemente e eficaz de quebrar a senha. É por isso que uma evolução do ataque de força bruta chamado ataque de dicionário é muito mais comum hoje em dia.

O que é um ataque de dicionário?
Em um ataque de dicionário, os hackers continuam tentando adivinhar a senha. A diferença é que, em uma tentativa de força bruta, eles estão atirando no escuro enquanto tentam adivinhá-la. Esse ataque é possível pelo fato de que os usuários não são muito bons com senhas.

Memorizar várias senhas complexas é difícil, e é por isso que muitas pessoas recorrem à proteção de suas contas com palavras simples como "senha" ou padrões de teclado como "qwerty". Reunindo longas listas de senhas comumente usadas, é muito mais provável que os hackers adivinhem a senha com muito menos tentativas.

Ataques offline e online
Tanto o ataque tradicional de força bruta quanto o do dicionário podem ser realizados on-line ou off-line. Em um ataque online, os hackers tentam adivinhar a senha na página de login. Quando estão offline, eles violam o fornecedor de serviços e fazem o download do banco de dados que contém a sua senha com hash (criptografada). Após recriar localmente o mecanismo de hashing, eles tentam adivinhar a senha sem se conectar à página de login.

Onde o CAPTCHA entra em tudo isso?
É um mecanismo para parar a força bruta e os ataques de dicionário online. Como você já deve ter adivinhado, os invasores não ficam sentados em frente a um teclado experimentando senhas diferentes até que o "Acesso Concedido" apareça na tela. Eles usam ferramentas e softwares automatizados e, como essas ferramentas são muito sofisticadas, elas não são capazes de resolver um teste de CAPTCHA. Normalmente existem outras precauções, tais como limites no número de tentativas de login com falha e bloqueio de IPs que geram tráfego suspeito, mas um teste de CAPTCHA é a solução mais simples (embora não totalmente infalível).

Em um ataque offline, no entanto, um teste de CAPTCHA é completamente irrelevante. É aí que você precisa intervir.

Protegendo-se contra ataques de força bruta
A única maneira de garantir que a sua senha não seja suscetível aos ataques de dicionário é certificar-se de que ela não esteja nos dicionários dos hackers. Quaisquer padrões de teclado devem estar fora de questão, mesmo se você achar que eles não são fáceis de adivinhar. Se a senha for uma palavra significativa, você também poderá estar vulnerável. Não se esqueça de que, em um ataque offline, os hackers não precisam se preocupar em serem pegos ou ficarem sem tentativas de login, d modo que eles podem, teoricamente, carregar todo o vocabulário de uma língua e esperar que a palavra certa apareça. A seqüência aleatória de caracteres que não faz sentido não apenas protege você de ataques de dicionário, mas também dificulta significativamente as tentativas de força bruta.

Dependendo do tamanho e do tipo de caracteres utilizados, há um número finito de combinações possíveis para cada senha. Para um código numérico de quatro caracteres, por exemplo, você tem um total de 10 mil combinações possíveis. Se você adicionar letras minúsculas à equação, no entanto, você imediatamente eleva o número para quase 1,7 milhão. Adicione letras maiúsculas, e você está olhando perto de 14,8 milhões de combinações.

Pode parecer muito, mas as ferramentas modernas de quebra de senhas passarão por todas essas combinações em segundos, razão pela qual, além de recomendar o uso do maior número de caracteres possível, os especialistas também dizem que uma boa senha tem que ter, no mínimo, 8 caracteres.

Alguns de vocês podem ler isso e pensar "mais fácil dizer do que fazer". Bem, nós acreditamos que frustrar tentativas de força bruta nunca foi tão simples. Com o Gerenciador de Senhas do Cyclonis, criar e armazenar várias senhas fortes é muito fácil. O gerador automático de senhas criará senhas aleatórias que consistem em números, letras e caracteres especiais, e cabe a você decidir por quanto tempo deseja que elas continuem sendo usadas. Você não precisa se preocupar em lembrar-se delas também. O Gerenciador de Senhas do Cyclonis irá colocar todas as suas senhas em um cofre criptografado que você poderá acessar através da sua senha mestra.