O que é um ataque de força bruta?
Um ataque de força bruta é a tentativa automatizada de adivinhar uma senha ou uma chave testando muitas combinações até uma funcionar. Hoje ele quase nunca é adivinhação às cegas: o atacante usa listas de senhas já vazadas de outros sites e as dispara aos milhares por segundo contra as contas da empresa. É o caminho de entrada mais comum, porque explora o elo mais fraco de todos, a senha reutilizada.
Como um ataque de força bruta funciona
Força bruta não é um gênio decifrando um código; é volume e automação. Bots testam combinações sem descanso, e basta uma dar certo. Quando a senha da conta já circula numa lista vazada, o ataque deixa de ser tentativa e vira quase uma conferência.
Descobrir o alvo
O nome de usuário costuma ser público: um e-mail corporativo no padrão nome.sobrenome, um login exposto. Metade do trabalho já vem pronta, porque só a senha falta descobrir.
Reunir a munição
Em vez de tentar do zero, o atacante compra ou baixa listas de senhas vazadas de outros vazamentos e dicionários de senhas comuns. Bilhões de credenciais circulam à venda, prontas para reuso.
Automatizar as tentativas
Programas disparam milhares de combinações por segundo, distribuídas por muitos endereços para não chamar atenção. O que uma pessoa levaria séculos para tentar, uma máquina faz em minutos.
Entrar e se mover
Uma senha certa abre a conta, e a partir dela o atacante procura acesso a mais sistemas. Um único acerto num login sem proteção pode virar a porta de entrada da empresa inteira.
Fonte: OWASP e o Data Breach Investigations Report 2025 da Verizon.
Sinais de que a empresa está sob força bruta
- Um salto no número de tentativas de login que falham, muito acima do normal do dia a dia.
- Contas sendo bloqueadas em série por excesso de erros de senha, sem que os usuários tenham errado.
- Acessos, ou tentativas, vindos de países e horários que não fazem sentido para a operação.
- Alertas de “viagem impossível”: a mesma conta acessada de dois lugares distantes em poucos minutos.
- Uma conta específica sendo martelada de novo e de novo, sinal de que o alvo já foi escolhido.
As variações do ataque de força bruta
- Força bruta simples Tenta combinações de senha uma a uma. Funciona contra senhas curtas e óbvias; contra uma senha longa e única, é inviável pelo tempo que levaria.
- Ataque de dicionário Em vez de qualquer combinação, testa uma lista de senhas prováveis: as mais comuns, palavras do idioma, nomes e datas. Mira o hábito humano de escolher senhas fáceis.
- Credential stuffing O mais comum hoje. Usa pares de usuário e senha já vazados de um site para tentar entrar em outros, apostando que a pessoa reutilizou a mesma senha. Não quebra nada; apenas reaproveita o que já vazou.
- Password spraying Testa uma senha muito comum contra muitas contas de uma vez, em vez de muitas senhas contra uma conta. Assim evita o bloqueio por tentativas e passa despercebido.
- Força bruta reversa Parte de uma senha conhecida (de um vazamento) e procura em qual conta ela funciona. Inverte a lógica: a senha é a pista, o usuário é o alvo.
O que está em jogo para o negócio
O ataque de força bruta importa porque ataca a fechadura mais usada da empresa: a senha. E os números mostram por que ele funciona tanto. O abuso de credenciais roubadas já é o vetor de entrada nº 1, presente em 22% de todas as violações (Verizon DBIR 2025), e 88% dos ataques a aplicações web básicas usaram credenciais roubadas, não força bruta às cegas. A causa é conhecida: as pessoas reutilizam senhas, então a senha vazada de um site de compras qualquer vira a chave do e-mail corporativo. Quando uma dessas tentativas acerta, o custo não é abstrato: uma violação de dados custa, em média, US$ 4,44 milhões no mundo (IBM, 2025). A boa notícia é que a defesa mais eficaz é barata: a Microsoft aponta que 99,9% das contas comprometidas não tinham autenticação multifator, o freio que sozinho fecha a maior parte dessas portas.
Como se proteger de ataques de força bruta
Não existe senha longa o bastante para vencer sozinha um atacante paciente com uma máquina. A defesa é somar camadas que tornam a tentativa cara e o acerto inútil:
- Ative a autenticação multifator (MFA) em tudoÉ a defesa isolada mais eficaz. Mesmo que a senha vaze e o atacante acerte, o segundo fator (um app ou uma chave) barra a entrada. Priorize app autenticador ou chave física, não SMS.
- Limite e bloqueie as tentativasTrave a conta ou imponha um tempo de espera após poucos erros de senha, e reduza o ritmo de tentativas por endereço. Isso mata a força bruta simples e o dicionário, que dependem de volume.
- Exija senhas únicas e longas, com gerenciadorUma senha por serviço, gerada e guardada por um gerenciador, quebra o credential stuffing: a senha vazada de um site não abre nenhum outro. Bloqueie também senhas que já se sabem vazadas.
- Aplique o menor privilégioSe uma senha for comprometida, ela não pode abrir tudo. Dar a cada conta só o acesso de que ela precisa limita o estrago de um acerto e contém o atacante antes que ele se espalhe.
- Monitore e detecte o anômaloAcompanhe picos de falhas de login, bloqueios em série e acessos de lugares improváveis. Detectar o padrão do ataque em andamento permite cortar o acesso antes que uma tentativa acerte.
Na prática
A mesma senha que um funcionário usou anos atrás num site de compras qualquer ainda protege hoje o e-mail da empresa? Se a resposta é sim, ou se ninguém sabe, o atacante não precisa quebrar nada: basta reusar o que já vazou. Autenticação multifator e uma senha única por serviço transformam esse acerto fácil num beco sem saída.
Como a Zamak fecha as portas da força bruta
A Zamak Technologies trabalha ao lado da sua equipe, sem substituí-la, para tirar da força bruta o que a faz funcionar: ativa e exige a autenticação multifator, aplica o menor privilégio para que uma senha roubada não abra o ambiente inteiro e monitora as tentativas anômalas de acesso, cortando o ataque antes do acerto. Em vez de torcer para que ninguém reutilize senhas, a sua empresa passa a ter a porta trancada por padrão. É parte da Cibersegurança gerenciada do Método Zamak, e um bom ponto de partida é o diagnóstico de cibersegurança.