Mục lục
Brute Force Attack là gì?
Brute Force Attack (tấn công vét cạn) là phương thức tấn công bảo mật bằng cách thử từng tổ hợp username/password cho đến khi tìm được kết quả đúng. Hacker sử dụng phần mềm hoặc bot tự động để dò mật khẩu.
Cách hoạt động của tấn công Brute Force
- Hacker thu thập username (ví dụ: admin, root)
- Dùng phần mềm như Hydra, Burp Suite, hoặc tool tự động khác
- Thử từng mật khẩu phổ biến hoặc ngẫu nhiên tới khi vào được hệ thống
Ví dụ thực tế về Brute Force
Ví dụ hacker cố gắng login vào WordPress:
admin : 123456
admin : password
admin : 123456789
admin : admin123
...
Hacker sẽ thử liên tục cho đến khi tìm ra mật khẩu đúng, hoặc hết khả năng thử.
Hậu quả của Brute Force Attack
- Mất quyền kiểm soát tài khoản
- Hacker chiếm server, cài malware
- Ăn cắp thông tin nhạy cảm (user, email, dữ liệu khách hàng…)
- Gây quá tải server, làm chậm hệ thống
Các dạng Brute Force Attack phổ biến
| Dạng tấn công | Mô tả |
|---|---|
| Dictionary Attack | Sử dụng danh sách mật khẩu phổ biến để thử login |
| Credential Stuffing | Dùng danh sách mật khẩu bị lộ từ các vụ hack trước |
| Simple Brute Force | Thử mọi tổ hợp ngẫu nhiên để dò ra mật khẩu |
Cách phòng chống Brute Force Attack
- Dùng mật khẩu mạnh, phức tạp (ký tự đặc biệt, chữ số, chữ hoa/thường)
- Bật xác thực hai lớp (2FA)
- Giới hạn số lần đăng nhập sai (rate limiting)
- Sử dụng CAPTCHA để ngăn bot
- Sử dụng Firewall (WAF) và phần mềm chặn IP tự động
Ví dụ thiết lập rate limiting (WordPress)
- Dùng plugin như Limit Login Attempts Reloaded
- Sau 5 lần thử sai → khoá IP trong 30 phút
Công cụ bảo vệ chống Brute Force hiệu quả
- Cloudflare Firewall (chặn bot login tự động)
- Fail2Ban (tự động ban IP khi dò mật khẩu SSH thất bại)
- Wordfence, Sucuri (cho WordPress)
Kết luận
Brute Force Attack là kiểu tấn công “cơ bản” nhưng lại rất phổ biến và gây nguy hiểm nghiêm trọng cho website. Hiểu rõ cơ chế và dùng các biện pháp bảo vệ (rate limit, CAPTCHA, 2FA) sẽ giúp bạn tránh được nguy cơ này, bảo vệ tài khoản và dữ liệu quan trọng của bạn an toàn hơn.