O que é um ataque de força bruta?

Um ataque de força bruta é um tipo de ciberataque no qual hackers tentam obter acesso não autorizado a uma conta ou a dados criptografados por tentativa e erro, testando várias credenciais de login ou chaves de criptografia até encontrar a senha correta. Ataques de força bruta geralmente têm como alvo sistemas de autenticação, como páginas de login de sites, servidores SSH ou arquivos protegidos por senha.  

Diferente de outros ciberataques, que exploram vulnerabilidades de software, os ataques de força bruta utilizam poder computacional e automação para adivinhar senhas ou chaves.Tentativas básicas de força bruta usam scripts automatizados ou bots para testar milhares de combinações de senhas por minuto — como um ladrão tentando todas as combinações de um cadeado até conseguir abri-lo.

Senhas fracas ou simples facilitam esse trabalho, enquanto senhas fortes podem tornar esse tipo de ataque extremamente demorado ou inviável.No entanto, técnicas mais avançadas de força bruta continuam sendo desenvolvidas.

Para ilustrar a velocidade e a escala das ameaças cibernéticas atuais, considere que a Microsoft bloqueia, em média, 4.000 ataques de identidade por segundo.Ainda assim, os atacantes continuam a expandir seus limites. Rigs especializadas em quebra de senhas podem realizar aproximadamente 7,25 trilhões de tentativas de senha nesse mesmo segundo.

E agora, com o surgimento da computação quântica e a necessidade de criptografia pós-quântica, os ataques de força bruta não estão mais limitados ao hardware atual. Métodos modernos de criptografia usados para autenticação, como a criptografia RSA, dependem da dificuldade computacional de fatorar grandes números em primos.

Fatorar qualquer número acima de 2048 bits levaria bilhões de anos com o poder computacional atual.No entanto, um computador quântico suficientemente avançado, com cerca de 20 milhões de qubits, poderia quebrar uma chave RSA de 2048 bits em poucas horas.

Os ataques de força bruta são uma ameaça séria à cibersegurança porque visam o elo mais fraco da defesa: senhas escolhidas por humanos e contas pouco protegidas.

Um ataque de força bruta bem-sucedido pode resultar em acesso não autorizado imediato, permitindo que os atacantes se façam passar pelo usuário, roubem dados sensíveis ou invadam ainda mais a rede. Além disso, ao contrário de invasões mais complexas, ataques de força bruta exigem relativamente pouca habilidade técnica, apenas persistência e recursos.

Um dos principais riscos de um ataque de força bruta é que uma única conta comprometida pode causar um efeito em cascata. Por exemplo, se os cibercriminosos quebrarem as credenciais de um administrador, poderão usá-las para comprometer outras contas de usuários.

Mesmo uma conta comum, uma vez acessada, pode revelar informações de identificação pessoal ou servir como ponto de entrada para acessos mais privilegiados. Muitas violações de dados e incidentes de ransomware começam com atacantes utilizando força bruta para invadir contas de acesso remoto — como logins via RDP ou VPN. Uma vez dentro, os atacantes podem implementar malware, ransomware ou simplesmente bloquear o sistema.

Os ataques de força bruta também são uma preocupação de segurança de rede, já que o grande volume de tentativas pode gerar ruído.Um tráfego excessivo pode sobrecarregar os sistemas de autenticação ou servir como distração para ataques mais silenciosos. 

Recentemente, pesquisadores observaram uma campanha global de força bruta utilizando quase 3 milhões de endereços IP únicos para atacar VPNs e firewalls, evidenciando o quão massivos e distribuídos esses ataques podem se tornar.

Normalmente, uma enxurrada de tentativas fracassadas de senha alertaria os defensores, mas os atacantes têm formas de mascarar sua atividade. Usando bots ou botnets — uma rede de computadores comprometidos —, os atacantes distribuem as tentativas entre diversas origens, como contas em redes sociais. Isso faz com que os acessos maliciosos se misturem ao comportamento normal dos usuários. 

Além da gravidade por si só, é importante notar que os ataques de força bruta costumam ser combinados com outras táticas. Por exemplo, um atacante pode usar phishing para obter as credenciais de uma conta e força bruta em outra. Ou ainda utilizar senhas obtidas por força bruta para aplicar golpes de phishing ou cometer fraudes em outros sistemas.

Para entender como os ataques de força bruta funcionam, considere o número gigantesco de senhas possíveis que um atacante pode precisar testar. Os ataques funcionam gerando e verificando credenciais em alta velocidade. O atacante pode começar com palpites óbvios (como "senha" ou "123456") e, em seguida, gerar sistematicamente todas as combinações possíveis de caracteres até encontrar a senha correta.

Atacantes modernos utilizam grande poder computacional — desde unidades de processamento de dados (CPUs) com múltiplos núcleos até clusters de computação em nuvem — para acelerar esse processo.

Por exemplo, uma senha de seis caracteres usando apenas letras minúsculas possui 26^6 combinações possíveis. Isso representa aproximadamente 308 milhões de combinações. Com o hardware atual, esse número de tentativas pode ser realizado quase instantaneamente, o que significa que uma senha fraca de seis letras pode ser quebrada de imediato.

Em contraste, uma senha mais longa, com letras maiúsculas e minúsculas, números e caracteres especiais, gera possibilidades exponencialmente maiores, aumentando drasticamente o tempo e o esforço necessários para adivinhá-la corretamente. 

As senhas não são o único alvo: métodos de força bruta também podem descriptografar arquivos ou descobrir chaves de criptografia testando exaustivamente todo o espectro de combinações possíveis (também conhecido como "espaço de chaves"). A viabilidade desses ataques depende do comprimento da chave e da robustez do algoritmo. Por exemplo, uma chave de criptografia de 128 bits possui um número astronômico de combinações possíveis, tornando sua quebra por força bruta virtualmente impossível com a tecnologia atual.

Na prática, ataques de força bruta costumam ter sucesso não por quebrarem algoritmos inquebráveis, mas por explorarem falhas humanas: adivinhando senhas comuns, assumindo reutilização de senhas ou buscando sistemas sem mecanismo de bloqueio após tentativas malsucedidas.

As técnicas de força bruta podem ser aplicadas em dois contextos: ataques on-line (tentativas em tempo real contra sistemas ativos) e ataques off-line (usando dados roubados, como hashes de senha — códigos curtos e fixos gerados a partir de senhas, praticamente impossíveis de reverter).

Nos ataques on-line, o hacker interage com um sistema de destino — como um login de aplicação web ou serviço SSH — e testa senhas em tempo real. A velocidade do ataque é limitada por atrasos na rede e mecanismos de defesa.

Por exemplo, o controle de taxa limita o número de tentativas em determinado período, e CAPTCHAs são métodos de autenticação que distinguem humanos de bots. Os atacantes geralmente distribuem suas tentativas on-line por vários endereços IP ou usam uma botnet para evitar bloqueios baseados em IP.

Nos ataques off-line, o atacante já obteve os dados criptografados ou hashes de senha (por exemplo, a partir de uma violação de dados) e pode usar seus próprios equipamentos para fazer milhões ou bilhões de tentativas por segundo sem alertar o alvo. Ferramentas especializadas de quebra de senhas — geralmente de código aberto — são usadas para facilitar essas estratégias de força bruta.

Por exemplo, John the Ripper, Hashcat e Aircrack-ng são ferramentas populares que automatizam a quebra de senhas por força bruta. Essas ferramentas utilizam algoritmos para gerenciar a enxurrada de tentativas e unidades de processamento gráfico (GPUs) para gerar e comparar hashes de senha com velocidades impressionantes.

Os ataques por força bruta assumem várias formas, cada uma utilizando estratégias diferentes para adivinhar ou reutilizar credenciais e obter acesso não autorizado.

Essa abordagem tenta todas as senhas possíveis, percorrendo incrementalmente cada combinação de caracteres permitidos. Um ataque por força bruta simples (também chamado de busca exaustiva) não utiliza nenhum conhecimento prévio sobre a senha; ele tentará senhas sistematicamente como “aaaa…”, “aaab…”, e assim por diante até “zzzz…”, incluindo dígitos ou símbolos, dependendo do conjunto de caracteres.

Dado tempo suficiente, um ataque por força bruta simples eventualmente encontrará as credenciais corretas por puro teste e erro. No entanto, isso pode consumir muito tempo se a senha for longa ou complexa.

Em vez de iterar cegamente por todas as combinações possíveis, um ataque por dicionário testa uma lista selecionada de senhas prováveis (um “dicionário” de termos) para agilizar o processo. 

Os atacantes compilam listas de palavras comuns, frases e senhas (como “admin”, “letmein” ou “password123”). Como muitos usuários escolhem senhas fracas baseadas em palavras comuns, esse método pode gerar resultados rápidos.

Um ataque híbrido combina a abordagem de ataque por dicionário com métodos de força bruta simples. Os atacantes começam com uma lista de palavras-base prováveis e, em seguida, aplicam modificações por força bruta. Por exemplo, a palavra “spring” pode ser testada como “Spring2025!”, adicionando letras maiúsculas, números ou símbolos para atender aos requisitos de complexidade.

O preenchimento de credenciais é uma variante especializada de ataques por força bruta, na qual o atacante usa credenciais (pares de nome de usuário e senha) roubadas em uma violação e tenta reutilizá-las em outros sites e serviços.Em vez de adivinhar novas senhas, o atacante insere senhas já conhecidas em vários formulários de login, apostando que muitos usuários reutilizam as mesmas credenciais em contas diferentes.

Um ataque por tabela arco-íris é uma técnica off-line de quebra de senha que troca tempo de computação por memória, utilizando tabelas pré-calculadas de hashes. Em vez de gerar hashes a cada tentativa, os atacantes usam uma “tabela arco-íris” — uma enorme tabela de consulta com valores de hash de muitas senhas possíveis — para rapidamente encontrar a senha original correspondente ao hash. 

Num ataque por força bruta reversa, o hacker inverte o método tradicional de ataque. Em vez de tentar várias senhas para um único usuário, ele tenta uma única senha (ou um pequeno conjunto) em várias contas de usuário diferentes.

A pulverização de senhas é uma versão mais furtiva da técnica de força bruta reversa. Os atacantes usam uma pequena lista de senhas comuns (como “Summer2025!”) em várias contas. Isso permite atingir múltiplos usuários sem acionar proteções de bloqueio em nenhuma conta específica.

As organizações podem implementar diversas medidas de segurança para se proteger contra tentativas de força bruta. As práticas essenciais incluem:

Cada barreira adicional — seja uma regra de bloqueio ou criptografia — pode ajudar a impedir invasões por força bruta. Ao adotar uma abordagem em camadas que aborde fatores humanos e técnicos, as organizações podem se proteger melhor contra ataques por força bruta.