+55 (11) 5199 7230 | contato@aser.com.br

Password spraying, credential stuffing, força bruta… Qual é a diferença?

Password spraying, credential stuffing, força bruta… Qual é a diferença?
Tempo de Leitura 2 Minutos

Password spraying, credential stuffing, força bruta… Qual é a diferença?

Conceitos utilizados por criminosos cibernéticos podem parecer similares, mas existem algumas diferenças estruturais que você precisa conhecer.

 

Você sabe a diferença entre ataques de password spraying, credential stuffing e brute force (força bruta)? Para muitos profissionais, todos esses conceitos dizem respeito a basicamente a mesma coisa. Contudo, eles possuem diferenças estruturais importantes, e é crítico que todo analista de segurança cibernética conheça as suas particularidades para desenhar estratégias distintas para se defender.

Ataques de força bruta são os mais antigos e tradicionais, mas já estão sendo abandonados por conta do alto poder computacional necessário para invadir uma única conta. Nesse tipo de abordagem, o meliante utiliza scripts automatizados para tentar “adivinhar” a senha de uma credencial com base em um dicionário pré-definido. O sistema tenta milhares de combinações por minuto, na esperança de conseguir encontrar a certa — algo que geralmente ocorre caso a password seja simples e fraca demais.

Diagnóstico de Segurança

Já no credential stuffing, o meliante utiliza uma credencial vazada na dark web de determinado serviço e emprega robôs para tentar entrar em outras plataformas com aquela mesma combinação de email e senha. Trata-se de um ataque que se apoia no fato de que, infelizmente, muitos usuários utilizam a mesma credencial para mais de um serviço (por exemplo, Netflix e Google Workspace). É desnecessário dizer que devemos usar senhas diferentes para cada site ou aplicação web.

Por fim, no password spraying, o criminoso utiliza uma lista de senhas comuns — como admin1234 e similares) e faz um ataque de força bruta com base nessas passwords populares. Trata-se da metodologia mais recente no mundo do cibercrime e que infelizmente é altamente eficaz, visto que todos nós sabemos que nem todos os internautas e colaboradores de uma empresa possuem uma boa higiene cibernética. Aqui, o mais importante é a senha, já que o email pode ser conseguido por outros meios.

Existem diversas formas de se esquivar desses ataques — a principal delas é adotando uma password forte e complexa, alterando-a periodicamente. Porém, a autenticação de duplo fator também é um excelente aliado para proteger as suas contas online.

Fale com nossos especialistas, a Aser vai ajudar a jornada do seu negocio.