Brutal force ou ataque de força bruta é uma das mais remotas formas de invadir um sistema online, ou um site que possui uma aplicação de administração de conteúdo. Normalmente, essas aplicações restringem o acesso dos usuários mediante um nome de usuário/login e senha. O ataque de força bruta consiste em “adivinhar” os dados de acesso ao sistema através de tentativa e erro. É importante saber como proteger o site destes ataques.
Devido à quantidade de usuários que possuem senhas consideradas fracas, esse ataque se tornou muito viável. Eles podem ser feitos manualmente ou por ferramentas que automatizam a tarefa, além de diminuir drasticamente o tempo levado para descobrir as chaves de entrada do sistema. Como existem várias ferramentas disponíveis atualmente, é praticamente inviável realizar o ataque manualmente.
Muitas vezes, os usuários fazem a utilização de logins padronizados como administrador, admin, adm, root, login, etc. Nestes casos, o invasor já tem meio caminho andado, ele descobre facilmente o login que foi usado precisando apenas adivinhar a senha. Para isso ele pode recorrer a dicionários on-line, listas de palavras comuns que têm uma grande probabilidade de servirem como senha.
Alguns exemplos comuns são nomes de times de futebol, substituições óbvias de algumas letras como a troca de “a” por “@” ou “o” por “0”, sequências numéricas e de letras, informações pessoais coletadas principalmente em redes sociais como nome, sobrenome e data de nascimento.
Dicas para se proteger de ataques de força bruta
Para tentarmos diminuir a probabilidade dos ataques de força bruta é necessário fortalecer a segurança de nossos dados de acesso (usuário e senha). Abaixo uma lista de dicas importantes que devemos considerar:
- Nunca utilize nomes de usuário padrão, preferindo nomes mais complexos e que não sejam muito óbvios;
- Para os usuários do sistema WordPress nunca use o nome admin como login, este é o login padrão sugerido pela plataforma no momento da instalação do mesmo. O uso deste nome facilita bastante o trabalho do invasor;
- Sempre utilize senhas longas. Normalmente, os sistemas têm um tamanho limite, mas procure sempre utilizar a quantidade máxima de caracteres;
- Evite usar somente letras ou somente números na composição da senha;
- O ideal é sempre compor as senhas utilizando caracteres variados, como símbolos, letras, números, e até mesmo misturar letras maiúsculas e minúsculas;
- Apesar de a maioria dos sistemas não permitir, nunca repita as mesmas palavras na área de login e senha;
- Tente formar senhas com a escolha de uma frase, montando uma sequência a partir desta;
- Não use datas oficiais registradas, como a data do seu aniversário, data de casamento, etc;
- Nunca crie senhas com palavras que foram publicadas em suas redes sociais;
- Tome cuidado com os locais onde você salva suas senhas, o ideal é sempre decorá-las;
- Muitas pessoas utilizam a mesma senha para várias aplicações. Nunca faça isso, se um invasor descobrir seus dados em uma das aplicações, ele pode ter acesso a todas as outras;
- Sempre que puder, altere suas senhas;
- Certifique que o sistema que você está usando possua bloqueio da conta depois de algumas tentativas seguidas de erro.
Plug-in de segurança no WordPress para proteger o site de ataque de força bruta
Existem vários plug-ins no WordPress que fazem o bloqueio do acesso após algumas tentativas seguidas de erro, permitindo o desbloqueio apenas após a realização de algum procedimento de segurança para a restauração da senha.
Com o WP Limit Login Attempts, você pode determinar a quantidade de tentativas e erros de logins permitidos até o bloqueio, além do tempo em que o acesso ficará bloqueado.
