No mundo dos crimes cibernéticos, o ataque de força bruta é uma atividade que envolve repetidas tentativas de utilizar várias combinações de senha para invadir qualquer site. Essa tentativa é realizada vigorosamente pelos hackers que também fazem uso de bots que instalaram maliciosamente em outros computadores para aumentar a capacidade de computação necessária para executar esse tipo de ataque.

Então, o que é um ataque de força bruta?

Um ataque de força bruta é o método mais simples para obter acesso a um site ou servidor (ou qualquer coisa que seja protegida por senha). Ele tenta várias combinações de nomes de usuário e senhas repetidas vezes até conseguir. Essa ação repetitiva é como um exército atacando um forte.

Normalmente, cada usuário comum (por exemplo, “admin”) tem uma senha. Tudo o que o hacker precisa fazer é tentar adivinhar a senha. Digamos que se for um pin de apenas 2 dígitos, o hacker tem 10 dígitos numéricos de 0 a 9. Isso significa que existem 100 possibilidades. Ele pode descobrir isso com caneta e papel.

Mas a verdade é que nenhuma senha no mundo consiste em apenas 2 caracteres. Mesmo os Pins mais simples (uma espécie de senha) usados ​​em telefones celulares ou em um banco consistem em no mínimo 4 caracteres.

Qual o menor tamanho aceitável de uma senha?

Na internet, 8 é geralmente o número padrão para o menor comprimento de uma senha. Além disso, a complexidade é adicionada à medida que letras são adicionadas dentro de uma senha para torná-la mais segura. A propósito, as letras podem ser usadas ​​tanto maiúsculas quanto minúsculas, tornando a senha sensível a esses caracteres.

Digamos que, se tivermos uma senha alfanumérica de oito caracteres, quantas combinações possíveis poderiam ser feitas? Existem 26 letras no alfabeto. Duplique-os para ambos os casos maiúsculas e minúsculas e a contagem se estabelece em 26 + 26 = 52.

Em seguida, adicionamos os dígitos numéricos: 52 + 10 = 62

Então, temos 62 caracteres no total.

Para senha de 8 caracteres, será 62⁸, o que fará 2.1834011×10¹⁴ combinações possíveis. 

Se tentarmos 218 trilhões de combinações em uma tentativa por segundo, levaria 218 trilhões de segundos ou 3,6 trilhões de minutos. Simplificando, apenas cerca de 7 milhões de anos seriam necessários para quebrar a senha com a combinação final. Certamente, pode levar menos, mas 7 milhões de anos é o limite máximo de tempo para quebrar uma senha alfanumérica de 8 caracteres.

Um hacker não viveria tanto tempo.

Então, como isso é feito?

Bem, se alguém está interessado em quebrar senhas, essa pessoa terá que usar computadores. Para fazer isso, ela precisa escrever algumas linhas simples de código. Tais habilidades de programação são básicas para qualquer codificador.

Agora, suponha que esta pessoa tenha desenvolvido um programa de quebra de senhas que tente 1.000 combinações por segundo. O tempo reduz para 7 mil anos.

Ainda assim não é possível!

Bem, essa pessoa precisa de um supercomputador. Então, digamos que tenha um supercomputador que possa tentar 1×10⁹ tentativas por segundo. Em apenas 22 segundos, todas as 218 trilhões de tentativas serão testadas. (Espero que você esteja dentro da conta, mas se a senha tiver nove caracteres, terá que esperar por mais alguns momentos.)

Recursos computacionais desse tipo não estão disponíveis para pessoas comuns. No entanto, hackers de senha não são usuários comuns. Eles podem coletar recursos de computação por diferentes meios, por exemplo, desenvolvendo um poderoso mecanismo de computação via software, etc.

Além disso, o cálculo acima é para todas as combinações possíveis de uma senha de 8 caracteres. Mas, e se a sua senha for a décima combinação ou a centésima combinação? É por isso que é essencial ter camadas adicionais de segurança para detectar e desviar qualquer tentativa de violação de senha.

Motivo do hacker 

Por trás do ataque de força bruta, o motivo do hacker é obter acesso ilegal a um site segmentado e utilizá-lo na execução de outro tipo de ataque ou no roubo de dados valiosos ou simplesmente desativá-lo. Também é possível que o ataque infecte o site visado com scripts mal-intencionados para objetivos de longo prazo, sem sequer tocar em uma única coisa e não deixando rastros. Portanto, é recomendável executar varreduras frequentes e seguir as práticas recomendadas para proteger seu site WordPress.

Isso assusta um pouco! Mas o que pode ser feito?

Existem muitas ferramentas disponíveis para proteger diferentes aplicativos que negarão um usuário após um número predefinido de tentativas.

Por exemplo, para o SSH, podemos usar os hosts Fail2ban ou Deny. Esses programas negarão o endereço IP após algumas tentativas erradas e fazem um bom trabalho. 

Recentemente, um aumento exponencial de ataques de força bruta foi observado. Esses ataques surgem em vários países ao redor do mundo e estão ficando mais sofisticados a cada dia que passa. Portanto, todos nós devemos ser vigilantes.

O WordPress é uma plataforma de desenvolvimento web de código aberto amplamente utilizada. Mais de 30% dos sites são alimentados por esta plataforma. Devido à sua popularidade, também é um alvo favorito dos hackers. Para acomodar o número máximo de parâmetros de segurança, listamos abaixo algumas técnicas eficazes para impedir que o seu site WordPress sofra um ataque Brute Force.

O Magento, por outro lado, oferece outro nível de segurança ao anexar uma chave ao URL do administrador. Isso significa que ninguém pode abrir o URL de administrador sem adicionar a chave secreta acessível, apenas ao usuário administrador. 

Como posso prevenir isso?

Você pode tomar algumas medidas de precaução:

• Comprimento da senha.
• Complexidade de senha.
• Limite de tentativas de login.
• Modificando o arquivo .htaccess.
• Usando o Captcha.
• Autenticação de dois fatores.
• Cloudflare

Comprimento da senha:

O primeiro passo para a prevenção do ataque de força bruta deve ser a adoção de uma senha mais longa. Atualmente, muitos sites e plataformas fazem com que seus usuários criem uma senha de determinado tamanho (8 – 16 caracteres).

Complexidade da Senha:

Outra coisa importante é criar uma senha complexa. Não é recomendável criar senhas como “123mudar” ou “password123456”. Em vez disso, sua senha deve consistir de letras maiúsculas e minúsculas e também deve ter números e caracteres especiais. A complexidade da senha atrasa o processo de cracking. Existe sites que geram senhas robustas, de forma online e instantânea. 

Limite de tentativas de login:

Uma ação simples, mas muito poderosa, é limitar as tentativas de login no seu administrador do WordPress ou em qualquer outro painel de administração. Por exemplo, se o seu site receber cinco tentativas de login com falha; ele deve bloquear esse IP por um determinado período de tempo para impedir que novas tentativas sejam feitas.

Modificando o arquivo .htaccess:

Adicionar algumas regras no arquivo .htaccess pode fortalecer ainda mais a segurança do seu site WordPress. O objetivo é permitir o acesso ao wp-admin apenas para endereços IP específicos listados no arquivo .htaccess.

Para fazer isso, abra seu arquivo .htaccess e modifique-o como:

1. <Files /wp-login>
2. order deny,allow
3. allow from IP1
4. allow from IP2
5. deny from all
6. </Files>

IP1 e IP2 serão os IPs aos quais você permitiu o acesso.

Usando o Captcha:

Captchas agora são comumente usados ​​em sites. Eles impedem que bots executem scripts automatizados usados ​​principalmente em ataques de força bruta. Instalar o captcha no seu site WordPress é bastante fácil, através de plugin como o reCaptcha .

 Este plugin também suporta WooCommerce, BuddyPress e formulários personalizados.

Autenticação de dois fatores:

Two Factor Authentication é uma linha extra de defesa que pode defender sua conta do Brute Force Attack. As chances de sucesso na execução do ataque Brute Force em sites protegidos por 2FA são muito pequenas. Existem várias maneiras de implementar 2FA no seu site WordPress e a mais fácil é usar qualquer um dos principais plugins WordPress para autenticação de dois fatores.

Cloudflare:

O Cloudflare é um serviço renomado para o WordPress que geralmente lida com o CDN e o cache. Também oferece um escudo protetor contra ataques de força bruta. Através das configurações do Cloudflare, o usuário pode definir regras para acessar as páginas de login e definir a Verificação de Integridade do Navegador.

Outras práticas recomendadas são:

• Senha exclusiva para cada conta.
• Mudança de senha frequente.
• Evite compartilhar credenciais por meio de canais inseguros.

Eu estou seguro na Bravulink?

Sim. No Bravulink, ficamos atentos quando se trata de segurança do servidor. Nosso sistema de segurança é capaz de identificar ataques de força bruta e proibir o uso de IPs em tais ataques. Manter os servidores gerenciados em nossa plataforma é uma das nossas principais prioridades.

Durante os últimos meses, nós atualizamos os servidores para todos os déficits de segurança descobertos, incluindo os populares como Heartbleed e GHOST.

Portanto, estamos sempre trabalhando para proteger nossa estrutura e os servidores hospedados nela.

Compartilhe sua opinião na seção de comentários abaixo.