Pular para o conteúdo
Vulnerabilidades e Testes de Segurança

O que é um ataque de força bruta?

Um ataque de força bruta é a tentativa automatizada de adivinhar uma senha ou uma chave testando muitas combinações até uma funcionar. Hoje ele quase nunca é adivinhação às cegas: o atacante usa listas de senhas já vazadas de outros sites e as dispara aos milhares por segundo contra as contas da empresa. É o caminho de entrada mais comum, porque explora o elo mais fraco de todos, a senha reutilizada.

Zamak TechnologiesAtualizado em 12 de julho de 2026

Como um ataque de força bruta funciona

Força bruta não é um gênio decifrando um código; é volume e automação. Bots testam combinações sem descanso, e basta uma dar certo. Quando a senha da conta já circula numa lista vazada, o ataque deixa de ser tentativa e vira quase uma conferência.

1

Descobrir o alvo

O nome de usuário costuma ser público: um e-mail corporativo no padrão nome.sobrenome, um login exposto. Metade do trabalho já vem pronta, porque só a senha falta descobrir.

2

Reunir a munição

Em vez de tentar do zero, o atacante compra ou baixa listas de senhas vazadas de outros vazamentos e dicionários de senhas comuns. Bilhões de credenciais circulam à venda, prontas para reuso.

3

Automatizar as tentativas

Programas disparam milhares de combinações por segundo, distribuídas por muitos endereços para não chamar atenção. O que uma pessoa levaria séculos para tentar, uma máquina faz em minutos.

4

Entrar e se mover

Uma senha certa abre a conta, e a partir dela o atacante procura acesso a mais sistemas. Um único acerto num login sem proteção pode virar a porta de entrada da empresa inteira.

Fonte: OWASP e o Data Breach Investigations Report 2025 da Verizon.

Sinais de que a empresa está sob força bruta

  • Um salto no número de tentativas de login que falham, muito acima do normal do dia a dia.
  • Contas sendo bloqueadas em série por excesso de erros de senha, sem que os usuários tenham errado.
  • Acessos, ou tentativas, vindos de países e horários que não fazem sentido para a operação.
  • Alertas de “viagem impossível”: a mesma conta acessada de dois lugares distantes em poucos minutos.
  • Uma conta específica sendo martelada de novo e de novo, sinal de que o alvo já foi escolhido.

As variações do ataque de força bruta

  • Força bruta simples Tenta combinações de senha uma a uma. Funciona contra senhas curtas e óbvias; contra uma senha longa e única, é inviável pelo tempo que levaria.
  • Ataque de dicionário Em vez de qualquer combinação, testa uma lista de senhas prováveis: as mais comuns, palavras do idioma, nomes e datas. Mira o hábito humano de escolher senhas fáceis.
  • Credential stuffing O mais comum hoje. Usa pares de usuário e senha já vazados de um site para tentar entrar em outros, apostando que a pessoa reutilizou a mesma senha. Não quebra nada; apenas reaproveita o que já vazou.
  • Password spraying Testa uma senha muito comum contra muitas contas de uma vez, em vez de muitas senhas contra uma conta. Assim evita o bloqueio por tentativas e passa despercebido.
  • Força bruta reversa Parte de uma senha conhecida (de um vazamento) e procura em qual conta ela funciona. Inverte a lógica: a senha é a pista, o usuário é o alvo.

O que está em jogo para o negócio

37%
dos ataques a aplicações web em 2025 foram de força bruta (Verizon DBIR 2025)
88%
dos ataques a aplicações web básicas usaram credenciais roubadas, não adivinhação às cegas (Verizon DBIR 2025)
99,9%
das contas comprometidas não tinham autenticação multifator ativada (Microsoft)

O ataque de força bruta importa porque ataca a fechadura mais usada da empresa: a senha. E os números mostram por que ele funciona tanto. O abuso de credenciais roubadas já é o vetor de entrada nº 1, presente em 22% de todas as violações (Verizon DBIR 2025), e 88% dos ataques a aplicações web básicas usaram credenciais roubadas, não força bruta às cegas. A causa é conhecida: as pessoas reutilizam senhas, então a senha vazada de um site de compras qualquer vira a chave do e-mail corporativo. Quando uma dessas tentativas acerta, o custo não é abstrato: uma violação de dados custa, em média, US$ 4,44 milhões no mundo (IBM, 2025). A boa notícia é que a defesa mais eficaz é barata: a Microsoft aponta que 99,9% das contas comprometidas não tinham autenticação multifator, o freio que sozinho fecha a maior parte dessas portas.

Como se proteger de ataques de força bruta

Não existe senha longa o bastante para vencer sozinha um atacante paciente com uma máquina. A defesa é somar camadas que tornam a tentativa cara e o acerto inútil:

  1. Ative a autenticação multifator (MFA) em tudoÉ a defesa isolada mais eficaz. Mesmo que a senha vaze e o atacante acerte, o segundo fator (um app ou uma chave) barra a entrada. Priorize app autenticador ou chave física, não SMS.
  2. Limite e bloqueie as tentativasTrave a conta ou imponha um tempo de espera após poucos erros de senha, e reduza o ritmo de tentativas por endereço. Isso mata a força bruta simples e o dicionário, que dependem de volume.
  3. Exija senhas únicas e longas, com gerenciadorUma senha por serviço, gerada e guardada por um gerenciador, quebra o credential stuffing: a senha vazada de um site não abre nenhum outro. Bloqueie também senhas que já se sabem vazadas.
  4. Aplique o menor privilégioSe uma senha for comprometida, ela não pode abrir tudo. Dar a cada conta só o acesso de que ela precisa limita o estrago de um acerto e contém o atacante antes que ele se espalhe.
  5. Monitore e detecte o anômaloAcompanhe picos de falhas de login, bloqueios em série e acessos de lugares improváveis. Detectar o padrão do ataque em andamento permite cortar o acesso antes que uma tentativa acerte.

Na prática

A mesma senha que um funcionário usou anos atrás num site de compras qualquer ainda protege hoje o e-mail da empresa? Se a resposta é sim, ou se ninguém sabe, o atacante não precisa quebrar nada: basta reusar o que já vazou. Autenticação multifator e uma senha única por serviço transformam esse acerto fácil num beco sem saída.

Como a Zamak fecha as portas da força bruta

A Zamak Technologies trabalha ao lado da sua equipe, sem substituí-la, para tirar da força bruta o que a faz funcionar: ativa e exige a autenticação multifator, aplica o menor privilégio para que uma senha roubada não abra o ambiente inteiro e monitora as tentativas anômalas de acesso, cortando o ataque antes do acerto. Em vez de torcer para que ninguém reutilize senhas, a sua empresa passa a ter a porta trancada por padrão. É parte da Cibersegurança gerenciada do Método Zamak, e um bom ponto de partida é o diagnóstico de cibersegurança.

Perguntas frequentes sobre ataques de força bruta

O que é um ataque de força bruta, em uma frase?
É a tentativa automatizada de descobrir uma senha testando muitas combinações até uma funcionar, hoje quase sempre usando listas de senhas já vazadas de outros sites, e não adivinhação do zero.
Qual a diferença entre força bruta e credential stuffing?
A força bruta clássica testa combinações de senha até acertar. O credential stuffing, sua forma mais comum hoje, não adivinha: pega pares de usuário e senha já vazados de um site e os testa em outros, apostando que a pessoa reutilizou a mesma senha.
A autenticação multifator (MFA) impede a força bruta?
A MFA não impede o atacante de tentar, mas torna o acerto quase inútil: mesmo com a senha certa, falta o segundo fator para entrar. É por isso que ela é a defesa isolada mais eficaz, e a Microsoft aponta que 99,9% das contas comprometidas não a tinham ativa.
Quanto tempo leva para quebrar uma senha por força bruta?
Depende do tamanho e da variedade. Uma senha curta e comum cai em segundos; uma senha longa e única levaria tempo inviável. O problema é que o atacante raramente precisa quebrar: se a senha já vazou em outro lugar, ele apenas a reutiliza.
Empresa pequena é alvo de força bruta?
Sim. O ataque é automatizado e varre a internet inteira sem escolher pelo tamanho da vítima. A empresa menor costuma ter menos MFA e menos monitoramento, o que a torna um alvo mais fácil, não menos visado.