Como funciona um ataque de dicionário?

A maioria das pessoas tem noções sobre bons hábitos de segurança. No entanto, elas costumam não ter um entendimento completo, deixando-as suscetíveis a ataques de dicionário.

Embora saibam que devem proteger suas contas digitais, muitos falham em seguir diretrizes simples, como criar senhas fortes.

Inclusive, um estudo da Google descobriu que cerca de 65% das pessoas reutilizam senhas em várias contas. Além disso, 59% usam informações pessoais fáceis de descobrir ou de adivinhar, como nomes de animais de estimação ou datas de nascimento.

Muitos usam senhas simples e óbvias que são fáceis de desvendar. Estudos mostram que digitações de "123456", qwerty", "senha", "teamo" e "oi" estão entre as senhas mais comuns e aparecem regularmente em vazamentos de dados.

Isso acaba tornando tais ataques muito comuns — e muito bem-sucedidos —, porque as pessoas não os levam a sério.

Definição de ataques de dicionário

De modo geral, um ataque de dicionário é um tipo de ataque de força bruta no qual o invasor tenta adivinhar a senha de contas digitais por meio de uma lista de palavras, frases e números comumente usados.

Quando um ataque de dicionário consegue descobrir uma senha, o invasor pode usá-la para acessar contas bancárias, redes sociais e até arquivos protegidos por senha. É aí que o problema real surge para a vítima.

Como funciona um ataque de dicionário?

Este tipo de invasão usa uma abordagem sistêmica para desvendar senhas. Há três etapas para realizar essas invasões e entendê-las pode ser útil para evitar um ataque de dicionário.

Geralmente, o invasor cria uma lista predeterminada de possíveis senhas — um dicionário de força bruta — que contém combinações de palavras e de números bastante usados.
Softwares automatizados usam esse dicionário de força bruta para tentar invadir contas digitais.
Quando um ataque de dicionário invade uma conta vulnerável, o invasor usa dados confidenciais do perfil para seus próprios fins. Eles podem usá-los para cometer fraudes, ações mal-intencionadas ou acessar contas para ganho financeiro.

Para compilar a lista de possíveis senhas, o invasor usa nomes de animais de estimação, personagens conhecidos da cultura pop, grandes times e atletas esportivos etc.

Muitas pessoas usam palavras como essas para criar senhas que têm significado para elas e que são fáceis de lembrar. A lista costuma incluir variações delas, como combinações de palavras diferentes ou caracteres especiais.

Usar uma lista de ferramenta automatizada também aumenta a chance de sucesso de ataques de dicionário. Usar uma lista de senhas combinada com uma ferramenta automatizada agiliza as tentativas de desvendar senhas e de invadir contas digitais. Se fosse feito manualmente, isso levaria muito tempo e permitiria que o dono da conta ou administrador do sistema percebesse e implementasse uma defesa contra o ataque.

Devido à forma que funcionam, os ataques de dicionário costumam não ter apenas um alvo. Eles são feitos na esperança de que uma das senhas na lista esteja correta.

No entanto, se o invasor estiver visando um lugar ou organização em específico, eles criarão uma lista mais centrada e localizada de palavras. Por exemplo, caso planejem atacar na Espanha, podem usar palavras comuns em espanhol e não em inglês. Ou, se estiverem visando uma organização, eles podem usar palavras associadas a ela.

Ataques de dicionário x força bruta: qual a diferença?

Embora invasões de dicionário sejam um tipo de ataque de força bruta, há uma diferença importante entre os dois.

Enquanto ataques de dicionário usam uma lista predefinida de palavras para desvendar senhas de contas sistematicamente, os de força bruta não usam uma lista; eles tentam cada combinação aleatória de letras, de símbolos e de números que podem ser usados para criar uma senha.

Portanto, ataques de dicionário tendem a ser mais eficientes e mais bem-sucedidos, já que há bem menos combinações para tentar.

Com 26 letras no alfabeto e dez números de um dígito, totalizando 36 caracteres, a quantidade de combinações que um ataque de força bruta deve tentar para ser bem-sucedido é quase impraticável. Para contextualizar, um ataque de força bruta a uma senha de dez caracteres implicaria em tentar 3,76 quatrilhões de senhas alfanuméricas.

Mas a vantagem dos ataques de força bruta é que são mais prováveis de desvendar senhas difíceis e únicas com sua abordagem de tentativa e erro.

Como executam uma lista abrangente de possíveis senhas, há mais chance de que esses ataques acabem encontrando a combinação correta de caracteres.

Como evitar ataques de dicionário

Para evitar esses ciberataques, é preciso entender o que eles são e como funcionam. Para quem quer se aprofundar na prevenção de tais ataques, as dicas a seguir podem ajudar:

Evite senhas quando possível

A forma mais fácil e infalível de evitar um ataque de dicionário é eliminar o uso de senhas. Em vez disso, quando existir a opção, use soluções de autenticação sem senha e logins biométricos para manter suas contas protegidas.

Use senhas aleatórias

Evite criar senhas que contenham dados pessoais, como data de nascimento, nome do animal de estimação ou outras informações fáceis de descobrir. Um gerenciador de senhas pode ajudar a criar, armazenar e inserir as senhas em um formato seguro.

Evite o óbvio

Surpreendentemente, muitos usam combinações básicas e fáceis de descobrir para suas senhas, como "senha123" ou "abc123". Elas são mais suscetíveis a invasões, pois ataques de dicionário são feitos especialmente para desvendar senhas fáceis.

Escolha uma frase secreta

Em vez de escolher uma combinação de palavras com números como senha, crie frases inteiras. Elas são muito mais difíceis de adivinhar, mas tendem a ser mais fáceis para os usuários lembrarem.

Por exemplo, alguém que gosta de futebol pode usar a frase "Quero ser atacante do Barcelona". Para tornar a frase secreta ainda mais segura, adicione números, caracteres e maiúsculas aleatórias para transformá-la em "QU3r0S3R4T4c@NtE!d0BARce!OnA!".

Use a autenticação de dois fatores

Configure suas contas de maneira que exijam dois ou mais fatores de autenticação para o login. Por exemplo, uma senha de uso único gerada por um aplicativo de autenticação e uma digital.

Experimente aplicativos de autenticação

Quando possível, tente usá-los no lugar de ou juntamente com senhas. Muitos desses aplicativos podem ser baixados em smartphones e conectados a uma conta, fornecendo senhas geradas aleatoriamente e de uso único para cada tentativa de login.

Limite de tentativas de login

Alguns sites e aplicativos agora limitam o número de tentativas de login permitidas em um certo período de tempo. Caso seja uma opção, habilite-a para cada conta para evitar invasões de dicionário.

Force redefinições

Invasões de dicionário requerem várias tentativas para desvendar uma senha. Reduza as chances de um ataque bem-sucedido forçando redefinições de senha após um certo número de tentativas fracassadas.

Caso não seja uma opção habilitá-las automaticamente, você pode estabelecer uma versão mais manual habilitando contas on-line que lhe enviarão um e-mail caso ocorra uma tentativa falha de login.

Você recebe uma notificação de que alguém tentou acessar uma conta e, especialmente se receber várias notificações seguidas, você pode mudar a senha para protegê-la.

Evite certas palavras

Não usar palavras comuns em todas as suas senhas adiciona mais uma camada de proteção às contas.

Gerenciadores de senhas podem ajudar a evitar ataques de dicionário?

Gerenciadores de senhas podem ser úteis para gerenciar as credenciais da conta em segurança e minimizar a chance de sofrer uma invasão de dicionário. Aplicativos como o Kaspersky Password Manager oferecem uma gama de benefícios que podem ajudar a proteger as senhas.

Aqui estão alguns motivos para utilizar:

Use apenas uma senha: com um gerenciador de senhas, você só precisa lembrar da senha mestra para entrar em sua conta e gerenciar todos os demais logins.
Gere senhas fortes e aleatórias: a maioria desses programas permitem que os usuários criem senhas fortes e geradas aleatoriamente. Como elas não incluem palavras ou frases comuns, geralmente estão a salvo de invasões de dicionário. Mas, é claro, um ataque de força bruta ainda pode ser bem-sucedido.
Tenha fácil acesso às contas: gerenciadores de senhas costumam oferecer o recurso de armazenar logins para uma conta individual de maneira segura, preenchendo os dados automaticamente para cada tentativa de entrar em um site, conta ou aplicativo.
Compartilhe senhas em segurança: caso seja necessário compartilhar senhas de contas — por exemplo, com amigos, familiares ou colegas —, os gestores de senhas permitem que isso seja feito em segurança enquanto gerenciam os acessos.
Use um armazenamento seguro: muitos gerenciadores agora oferecem a capacidade de armazenar coisas como documentos pessoais, fichas médicas e fotos em um formato criptografado para proteger quaisquer dados confidenciais.

Tome medidas para evitar um ataque de dicionário

Invasões de dicionário são um tipo muito comum de cibercrime, usado para acessar contas de um indivíduo, como contas bancárias, redes sociais e e-mails.

Com tal acesso, um invasor pode cometer todo tipo de ação, como fraudes financeiras e publicações mal-intencionadas em redes sociais para crimes posteriores, como phishing.

No entanto, evitar ataques de dicionário pode ser tão simples quanto implementar certas salvaguardas para minimizar o risco de ser uma vítima.

Hábitos inteligentes de gerenciamento de senhas, empregar diferentes tipos de autenticações e usar gerenciadores de senha prontamente disponíveis ajuda a manter senhas e contas seguras.