Брутфорс — это метод неавторизованного доступа к аккаунтам, при котором злоумышленник автоматически перебирает возможные символьные комбинации паролей до тех пор, пока не будет найдена верная. Техника опирается на автоматизацию: скрипты, боты или распределённые сети (иногда в составе ботнета) отправляют многочисленные попытки авторизации к серверу, веб-приложению или почтовому ящику, имитируя действия реального юзера.
В условиях клиент-серверной архитектуры атаки брутфорсом направлены на точку входа — форму логина на веб-сайте, API или протоколы аутентификации. Результатом может стать компрометация аккаунта, несанкционированный доступ к данным, рассылка спама с захваченных почтовых ящиков, кликфрод или использование ресурса в мошеннических целях. Часто брутфорс применяется совместно с другими методами — например, при наличии у атакующего списка логинов (парсинг, утечки) перебор становится гораздо эффективнее.
Для обнаружения и реагирования на брутфорс используются механизмы логирования и мониторинга трафика: системы фиксируют аномальную активность и повышенное число неудачных попыток авторизации. Практики защиты включают введение ограничений по числу попыток, применение капчи, усиленные схемы аутентификации и авторизации (OAuth, JWT), своевременные апгрейды программного обеспечения и использование антивирусных программ на хостах. В ряде случаев подозрительные IP-адреса или аккаунты получают бан, чтобы остановить атаку.
Брутфорс остаётся одним из базовых векторов кибератак и подчёркивает важность надёжной политики паролей, двуфакторной аутентификации и регулярного тестирования безопасности в процессе разработки и поддержки цифровых продуктов.