O que é um ataque de força bruta em termos simples?

Um ataque de força bruta é uma tentativa de entrar numa conta adivinhando a sua palavra-passe por pura tentativa e erro — um software automatizado testa enormes quantidades de palavras-passe possíveis até uma resultar. Não há truque engenhoso; tudo depende de velocidade e volume. Tem êxito sobretudo contra palavras-passe fracas, curtas ou reutilizadas, e contra sistemas de início de sessão que não limitam quantas tentativas um atacante pode fazer. Palavras-passe longas e únicas e a autenticação de dois fatores são o que o torna impraticável.

Quanto tempo demora um ataque de força bruta?

Depende inteiramente do comprimento e da aleatoriedade da palavra-passe. Cada caractere adicional multiplica o número de combinações possíveis, por isso uma palavra-passe curta ou comum pode cair em segundos, enquanto uma longa e aleatória pode exigir mais tentativas do que são viáveis num prazo prático. É esse o propósito do comprimento: não torna o adivinhar impossível em teoria, torna-o tão demorado que não compensa. As palavras-passe reutilizadas ou expostas ignoram o cálculo por completo, e é por isso que a unicidade também importa.

Qual é a diferença entre força bruta e um ataque de dicionário?

São variantes da mesma ideia. Um ataque de força bruta puro testa todas as combinações de caracteres possíveis, começando pela mais curta. Um ataque de dicionário é mais astuto e rápido: testa primeiro uma lista preparada de palavras-passe prováveis — palavras comuns, nomes, palavras-passe expostas e padrões previsíveis — porque a maioria das palavras-passe fracas vem de um conjunto pequeno e adivinhável. O credential stuffing vai ainda mais longe, reutilizando pares reais de nome de utilizador e palavra-passe expostos noutras violações.

A autenticação de dois fatores trava os ataques de força bruta?

Em grande parte, sim — e é por isso que é tão valiosa. Mesmo que um atacante acabe por adivinhar a tua palavra-passe, a autenticação de dois fatores (2FA) exige uma segunda prova — um código de uma aplicação, uma chave de segurança ou uma passkey — que o atacante não possui. Por isso, uma palavra-passe correta sozinha não basta para entrar. A 2FA não torna a tua palavra-passe forte, mas faz com que uma palavra-passe adivinhada ou exposta normalmente falhe por si só. Ativa-a em todo o lado onde for oferecida, idealmente com uma aplicação de autenticação ou uma passkey em vez de SMS.

Como me protejo dos ataques de força bruta?

Três coisas cobrem a maior parte do risco. Usa palavras-passe longas e únicas — um gestor de palavras-passe pode gerar e guardar uma aleatória para cada conta, para que nada seja curto, adivinhável ou reutilizado. Ativa a autenticação de dois fatores para que uma palavra-passe adivinhada não baste. E não reutilizes palavras-passe entre sites, pois caso contrário uma única fuga abre todas as contas que a partilham. Comprimento forte mais unicidade mais 2FA tornam impraticável forçar as tuas contas.

O que é um ataque de força bruta? Como funciona e como travá-lo (2026)

Um ataque de força bruta é o método de hacking mais elementar que existe — e ainda um dos mais comuns, porque continua a funcionar contra palavras-passe fracas. Sem exploit e sem truques: apenas um computador a adivinhar palavras-passe, muito depressa, até uma encaixar. Este guia explica como funcionam os ataques de força bruta, os principais tipos, porque ainda têm êxito e as defesas que realmente os travam.

A definição curta

Um ataque de força bruta tenta adivinhar uma palavra-passe (ou chave) tentando sistematicamente enormes quantidades de combinações até encontrar a correta. Os atacantes automatizam-no, por isso um programa pode fazer milhares ou milhões de tentativas muito mais depressa do que qualquer ser humano. Não explora uma falha de software — explora palavras-passe fracas e sistemas de início de sessão que deixam um atacante continuar a adivinhar.

Como funciona

O atacante aponta um software a um início de sessão ou a um ficheiro roubado de palavras-passe baralhadas (com hash) e deixa-o triturar candidatos. A força da palavra-passe alvo decide tudo: cada caractere adicional multiplica o número de possibilidades, por isso o tempo para adivinhar cresce de forma explosiva com o comprimento. Uma palavra-passe curta ou comum pode cair quase de imediato; uma longa e aleatória pode exigir mais tentativas do que são realisticamente atingíveis.

Os principais tipos

«Força bruta» é na verdade uma família de técnicas relacionadas:

Força bruta simples — testar todas as combinações de caracteres possíveis, da mais curta para cima. Minuciosa, mas lenta contra palavras-passe longas.
Ataque de dicionário — testar primeiro uma lista preparada de palavras-passe prováveis (palavras comuns, nomes, palavras-passe expostas, padrões previsíveis), porque a maioria das palavras-passe fracas vem de um conjunto pequeno.
Credential stuffing — reutilizar pares reais de nome de utilizador e palavra-passe expostos noutras violações, apostando que as pessoas os reutilizam. Rápido e eficaz contra a reutilização de palavras-passe.
Password spraying — testar algumas palavras-passe muito comuns contra muitas contas, para passar por baixo dos limites de bloqueio que disparam com falhas repetidas numa só conta.

Grande plano das teclas de letras de um teclado de computador — um ataque de força bruta percorre combinações de caracteres como estas até uma desbloquear a conta.

Porque a força bruta ainda funciona

Se é tão rudimentar, porque persiste? Porque o elo fraco raramente é a matemática — são os hábitos humanos e os sistemas permissivos:

As palavras-passe curtas ou comuns caem a um ataque de dicionário em instantes.
As palavras-passe reutilizadas significam que uma violação entrega aos atacantes uma chave funcional para as tuas outras contas.
Os pontos de início de sessão sem limitação de frequência ou bloqueios deixam um atacante adivinhar sem fim.

A força bruta não vence palavras-passe fortes e únicas — colhe as fracas e reutilizadas.

O que torna uma palavra-passe resistente à força bruta

Duas propriedades: comprimento e aleatoriedade. Juntas criam alta entropia — tantas combinações possíveis que adivinhar se torna computacionalmente impraticável. Uma palavra-passe longa e gerada aleatoriamente não é «impossível» de forçar em teoria; simplesmente demora tanto, de forma astronómica, que nenhum atacante se incomoda. A previsibilidade é o inimigo: uma palavra-passe longa construída a partir de uma citação ou de um padrão é muito mais fraca do que o seu comprimento sugere.

Como te defenderes

As defesas são simples e somam-se:

Usa palavras-passe longas e únicas. A forma prática é um gestor de palavras-passe que gera e guarda uma palavra-passe aleatória para cada conta — nada de curto, adivinhável ou reutilizado. Este único hábito derrota ataques de dicionário e credential stuffing de uma só vez.
Ativa a autenticação de dois fatores. Mesmo uma palavra-passe adivinhada corretamente falha sem o segundo fator. Prefere uma aplicação de autenticação ou uma passkey em vez de SMS.
Nunca reutilizes palavras-passe. A reutilização é o que transforma a violação de um site numa chave-mestra para o resto das tuas contas.

Do lado do serviço, a limitação de frequência, os bloqueios de conta e o armazenamento de palavras-passe devidamente com hash e salgadas atenuam ainda mais estes ataques — mas, como utilizador, é comprimento + unicidade + 2FA que torna o forçar das tuas contas não digno da tentativa.

O veredito

Um ataque de força bruta é um simples adivinhar automatizado — e mantém-se eficaz apenas porque as palavras-passe fracas e reutilizadas continuam a alimentá-lo. Torna cada palavra-passe longa, aleatória e única (um gestor de palavras-passe faz isto por ti), acrescenta autenticação de dois fatores, e a matemática inclina-se firmemente a teu favor: adivinhar a tua palavra-passe torna-se um trabalho que nenhum atacante consegue realisticamente terminar.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Proteja as suas contas → NordPassPalavras-passe fortes e únicas · scanner de fugas · plano gratuito→