Ataques de força bruta

Os ataques de força bruta são efectuados por piratas informáticos que tentam decifrar uma palavra-passe experimentando simplesmente diferentes combinações de caracteres numa sucessão rápida. O algoritmo é muito simples e limita-se a experimentar o maior número possível de combinações de caracteres, razão pela qual também é designado por "pesquisa exaustiva". O atacante utiliza normalmente um computador de alto desempenho, que efectua uma grande quantidade de cálculos por segundo e, consequentemente, pode testar um elevado número de combinações no menor tempo possível.

O método é frequentemente utilizado com sucesso na prática, uma vez que muitos utilizadores utilizam palavras-passe curtas, que muitas vezes consistem apenas nas letras do alfabeto, reduzindo drasticamente o número de combinações possíveis e facilitando a adivinhação.

Desencriptação de palavras-passe

O projeto RC5 da organização Distributed.net mostra a rapidez com que as palavras-passe podem ser desencriptadas. O objetivo do projeto é a desencriptação de uma mensagem, que foi encriptada com uma chave de 72 bits. Para o efeito, são experimentadas todas as chaves possíveis até se encontrar a chave adequada. Uma vez que vários utilizadores disponibilizam as suas capacidades informáticas para este projeto, atualmente (em 8 de maio de 2012) podem ser geradas mais de 800 mil milhões de chaves por segundo. Os projectos mais antigos desta organização conseguiram obter uma chave de 56 bits em 250 dias e uma chave de 64 bits em 1.757 dias.

Combinação e comprimento da palavra-passe

Alguns exemplos de cálculo ilustrarão a interação do comprimento e dos caracteres utilizados para a segurança de uma palavra-passe. Nos exemplos de cálculo, espera-se uma geração de 2 mil milhões de chaves por segundo, uma vez que isto corresponde aproximadamente à velocidade de um único computador muito potente.

Ao criar uma palavra-passe, estão normalmente disponíveis os seguintes caracteres:

  • Números (10 diferentes: 0-9)
  • Letras (52 diferentes: A-Z e a-z)
  • Caracteres especiais (32 diferentes).

O número de combinações possíveis é calculado através da seguinte fórmula:

Combinações possíveis = número possível decaracteresComprimento da palavra-passe

Isto resulta nos seguintes exemplos de cálculo sem considerar outros factores, tais como ataques de dicionário:

A palavra-passe é composta por Combinações possíveis Tempo necessário para desencriptar

5 caracteres
(3 letras minúsculas,
2 números)

365= 60,466,176

60,466,176 /
2.000.000.000 =
0,03 segundos

7 caracteres
(1 letra maiúscula,
6 letras minúsculas)

527= 1,028,071,702,528

1,028,071,702,528 /
2,000,000,000 =
514 segundos =
aprox. 9 minutos

8 caracteres
(4 letras minúsculas,
2 caracteres especiais,
2 números)

688= 457,163,239,653,376

457,163,239,653,376 /
2,000,000,000 =
228.581 segundos =
aprox. 2,6 dias

9 caracteres
(2 letras maiúsculas,
3 letras minúsculas,
2 números,
2 caracteres especiais)

949= 572,994,802,228,616,704

572,994,802,228,616,704 /
2,000,000,000 =
286.497.401 Segundos =
aprox. 9,1 anos

12 caracteres
(3 letras maiúsculas,
4 letras minúsculas,
3 caracteres especiais,
2 números)

9412= 475,920,314,814,253,376,475,136

475,920,314,814,253,376,475,136 /
2,000,000,000 =
237.960.157.407.127 Segundos =
aprox. 7,5 milhões de anos

Pode ver muito claramente o impacto do comprimento da palavra-passe e da utilização de diferentes grupos de caracteres na segurança de uma palavra-passe.

Proteção contra ataques de força bruta

A única forma de se defender contra ataques de força bruta é utilizar uma palavra-passe mestra complexa, suficientemente longa e composta por uma combinação de letras, caracteres especiais, números e elementos em maiúsculas e minúsculas. Quanto mais complexa e longa for a sua palavra-passe, menor será a probabilidade de o software utilizado "adivinhar" a combinação escolhida por acaso, como pode ver nos exemplos de cálculo acima.

Quando cria uma nova palavra-passe no Password Depot ou faz com que seja gerada automaticamente utilizando o Gerador de Palavras-Passe, verá quanto tempo demoraria a decifrar essa palavra-passe. O Password Depot não considera apenas os factores acima referidos, como o número de caracteres, mas também outras vulnerabilidades, como a vulnerabilidade a ataques de dicionário.

Outra forma de dificultar os ataques de força bruta é prolongar o tempo entre duas tentativas de início de sessão (depois de introduzir uma palavra-passe incorrecta). Como resultado, o computador de alto desempenho do hacker pode ficar mais lento, apesar dos inúmeros cálculos por segundo que teoricamente seria capaz de efetuar. É por isso que no Password Depot a caixa de diálogo da palavra-passe mestra é bloqueada durante alguns segundos se introduzir uma palavra-passe mestra incorrecta. Com o aumento da frequência de introdução de palavras-passe erradas, este tempo de espera também aumenta.