Tấn công Brute-Force Attack là gì?

Brute-Force Attack (Tấn công vét cạn, hay tấn công dò quét toàn bộ) là một hình thức tấn công bảo mật mà kẻ tấn công thử tất cả các khả năng có thể để tìm ra thông tin bí mật — thường là mật khẩu, khóa mã hóa, hoặc thông tin đăng nhập.

Nguyên lý hoạt động

• Kẻ tấn công sử dụng phần mềm tự động để thử mọi kết hợp ký tự có thể.

• Quá trình này có thể mất từ vài giây (với mật khẩu yếu) đến nhiều năm (với mật khẩu mạnh, độ dài và độ phức tạp cao).

• Ngoài từ điển ký tự chuẩn, đôi khi kẻ tấn công còn dùng danh sách mật khẩu phổ biến (dictionary attack — dạng tấn công từ điển, cũng là một biến thể của brute-force).

Ví dụ

• Một mật khẩu 4 chữ số như PIN ATM: kẻ tấn công chỉ cần thử từ 0000 đến 9999.

• Với mật khẩu dài và phức tạp (ví dụ Xj7#zP$1q!), số tổ hợp có thể lên hàng tỷ tỷ.

Hệ quả

• Tấn công brute-force không yêu cầu lỗ hổng phần mềm — chỉ khai thác mật khẩu yếu hoặc hệ thống không giới hạn số lần đăng nhập sai.

• Do dễ thực hiện, nó thường là phương pháp tấn công đầu tiên.

Cách phòng chống

1. Đặt mật khẩu mạnh: dài, phức tạp, khó đoán.

2. Giới hạn số lần đăng nhập sai: khóa tài khoản tạm thời sau nhiều lần sai liên tiếp.

3. Sử dụng CAPTCHA: để ngăn phần mềm tự động.

4. Xác thực đa yếu tố (MFA): thêm lớp bảo mật khác ngoài mật khẩu.

5. Giám sát đăng nhập: phát hiện bất thường.