Брутфорс-атака (Brute Force, "грубая сила") — это метод взлома паролей, логинов или шифров путём перебора всех возможных комбинаций. Хакеры используют автоматизированные инструменты, чтобы подобрать учётные данные, особенно если пароль слабый.
В этой статье разберём:
- Как работает брутфорс-атака?
- Какие виды брутфорса существуют?
- 10 эффективных способов защиты.
1. Как работает брутфорс-атака?
🔹 Принцип действия
- Хакер выбирает цель (например, почту, Wi-Fi, SSH-сервер).
- Специальная программа (Hydra, John the Ripper, Aircrack-ng) перебирает комбинации:
- Словарные атаки (используют базы популярных паролей).
- Полный перебор (от a до zzzzzzzz).
- Гибридные атаки (комбинации слов + цифр, например, password123).
- Если пароль подобран — злоумышленник получает доступ.
🔹 Где применяют брутфорс?
- Взлом Wi-Fi (WPA/WPA2, WPS-PIN).
- Подбор паролей к почте, соцсетям, банковским аккаунтам.
- Взлом RDP, SSH, FTP-серверов.
- Расшифровка файлов (ZIP, RAR, PDF).
2. Виды брутфорс-атак
3. Как защититься? 10 методов против брутфорса
🔐 1. Используйте сложные пароли
- Минимум 12 символов: буквы (A-Z, a-z), цифры (0-9), спецсимволы (!@#$%).
- Пример стойкого пароля: J8$kL2#pQ9!mN1*.
🔐 2. Включите двухфакторную аутентификацию (2FA)
- Даже если пароль взломают, без кода из Google Authenticator / SMS войти не получится.
🔐 3. Ограничьте попытки входа
- Блокировка после 3-5 неудачных попыток (настройте на сервере или в роутере).
🔐 4. Отключите WPS на роутере
- WPS-PIN взламывается брутфорсом за часы.
🔐 5. Используйте CAPTCHA
- Защищает онлайн-формы от автоматического перебора.
🔐 6. Применяйте менеджеры паролей
- Bitwarden, 1Password генерируют и хранят сложные пароли.
🔐 7. Шифруйте важные файлы (AES-256)
- Даже если файл украдут, брутфорс займёт сотни лет.
🔐 8. Обновляйте ПО
- Старые версии WordPress, Joomla, SSH уязвимы к атакам.
🔐 9. Мониторьте логи
- Подозрительные множественные попытки входа — признак брутфорса.
🔐 10. Используйте "чёрные списки" паролей
- Запрещайте сотрудникам устанавливать password123 и подобное.
4. Как обнаружить брутфорс-атаку?
- Необычно медленная работа сервера (из-за тысяч запросов).
- Множество failed login attempts в логах.
- Письма о подозрительных входах (если включены уведомления).
Инструменты для защиты:
- Fail2Ban (автоблокировка IP при атаке).
- CrowdSec (аналог Fail2Ban с облачной базой угроз).
5. Что делать, если атака уже идёт?
- Заблокируйте IP-адрес (например, через фаервол).
- Смените пароли всех уязвимых аккаунтов.
- Включите 2FA там, где его ещё нет.
- Сообщите хостинг-провайдеру (если атакуют сервер).
Вывод: брутфорс опасен, но защититься можно
Главное правило: чем сложнее пароль — тем дольше его взламывать.
Итоговый чек-лист безопасности:
✔ Длинные пароли (16+ символов).
✔ 2FA на всех важных аккаунтах.
✔ Отключение WPS и лимиты на вход.
✔ Мониторинг подозрительной активности.
Помните: брутфорс — это "игра на истощение". Не давайте хакерам ни единого шанса! 🔒