Брутфорс: что это такое и как его предотвратить — Контур.Эгида

В этой статье

Брутфорс: что это такое и как его предотвратить

11 февраля 2026

Брутфорс — это кибератака, при которой злоумышленник пытается получить доступ к системе, последовательно проверяя тысячи возможных комбинаций логина и пароля. Метод остается эффективным из-за слабых паролей и недостаточной защиты систем. Так, в 2025 году число кибератак на российский бизнес снова выросло: по-прежнему много атак, направленных на взлом учетных записей, и брутфорс остается одним из основных инструментов злоумышленников. Эксперты Контур.Эгиды рассказывают, почему метод перебора остается эффективным и какие меры защиты действительно работают в текущих условиях.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы

Что такое брутфорс

Название происходит от английского brute force — «грубая сила», что точно отражает суть метода. Атака строится не за счет умного поиска уязвимостей, а за счет применения вычислительной мощи. Злоумышленник пытается получить доступ к системе, последовательно проверяя огромное количество возможных комбинаций логина и пароля.

Принцип работы

В основе брутфорс-атаки лежит простой алгоритм: программа-«переборщик» автоматически генерирует логины и пароли и пытается использовать их для аутентификации в целевой системе. Этот процесс продолжается до тех пор, пока не будет найдена работающая пара учетных данных.

Основной фактор метода — время, необходимое для подбора. Оно напрямую зависит от длины и сложности пароля. Например, шестизначный пароль, состоящий только из строчных латинских букв, имеет примерно 308 миллионов возможных комбинаций. Современное оборудование может проверить их все практически мгновенно. 

Рассмотрим в таблице, как сложность пароля влияет на время подбора

Количество символов Только цифры Только строчные буквы Строчные и заглавные буквы Цифры, строчные и заглавные Цифры, строчные и заглавные буквы, символы

4

Мгновенно

Мгновенно

3 сек

6 сек

9 сек

5

Мгновенно

4 сек

2 мин

6 мин

10 мин

6

Мгновенно

2 мин

2 часа

6 часов

12 часов

7

4 сек 

50 мин 

4 дня  

2 недели

1 месяц

8

37 сек

22 часа

8 месяцев

3 года

7 лет

9

6 мин

3 недели

33 года 

161 год

479 лет

10

1 час

2 года 

1 тыс. лет 

9 тыс. лет 

33 тыс.лет

11

10 часов 

44 года

89 тыс. лет

618 тыс. лет 

2 млн лет

12

4 дня

1 тыс. лет 

4 млн лет

38 млн лет

164 млн лет

13

1 месяц

29 тыс. лет

241 млн лет   

2 млрд лет

11 млрд лет

14

1 год

766 тыс. лет

12 млрд лет

147 млрд лет

805 млрд лет

15

12 лет 

9 млн лет 

652 млрд лет

9 трлн лет

56 трлн лет

16

119 лет

517 млн лет

33 трлн лет

566 трлн лет 

3 квадрлн лет

17

1 тыс. лет 

13 млрд лет

1 квадрлн лет

35 квадрлн лет  

276 квадрлн лет

18

11 тыс. лет 

350 млрд лет

91 квадрлн лет

2 квинтлн лет 

19 квинтлн лет  

Как происходит атака на практике

Брутфорсе редко выглядит как бессистемная проверка всех символов подряд. Злоумышленники используют оптимизированные сценарии:

Разведка. Атакующий определяет точку входа — адрес страницы входа в админ-панель сайта, SSH-сервер, почтовый ящик и т.д.

Подготовка. Собираются или генерируются словари возможных логинов и паролей. Часто используются базы, слитые после утечек с других сервисов.

Автоматизация. С помощью специальных программ запускается автоматический перебор. Мощности графических процессоров (GPU) позволяют проверять миллиарды паролей в секунду.

Обход защиты. Чтобы избежать блокировки по IP, атаки распределяются через бот-сети — армии зараженных компьютеров по всему миру, что маскирует попытки входа под легитимный трафик.

Яркой иллюстрацией этого процесса стали массовые атаки на корпоративные сети крупных российских компаний через VPN и RDP в середине 2025 года. Группы хакеров провели скоординированную кампанию, в которой четко прослеживались все описанные этапы.

Виды брутфорс-атак

Тактика перебора эволюционировала, и сегодня есть несколько видов атак, каждый из которых эффективен по-своему.

Полный перебор 

Классический метод, при котором программа перебирает все возможные комбинации символов в заданном диапазоне. Например, для пароля из четырех цифр она начнет с «0000», затем «0001», «0002» и так до «9999». Хотя такой подход гарантирует результат, на практике он применяется редко для длинных паролей из-за колоссальных вычислительных затрат. Однако для коротких или слабых паролей он эффективен.

Словарная атака 

Это более умный и поэтому более распространенный метод. Вместо генерации случайных комбинаций программа использует заранее подготовленный список (словарь) самых вероятных паролей. Такой список включает:

  • Стандартные комбинации: admin, password, 123456, qwerty.
  • Популярные слова на разных языках.
  • Пароли, ранее скомпрометированные в результате утечек данных и опубликованные в открытом доступе или darknet.

Эффективность словарной атаки пугающе высока, так как множество пользователей по-прежнему используют простые и предсказуемые пароли. По данным «Лаборатории Касперского», каждый десятый утекший в 2023-2025 гг пароль содержал число, похожее на дату от «1990» до «2025», самая распространенная комбинация — 12345, а слово — «love».   

Гибридный брутфорс 

Это комбинация двух предыдущих методов. Атакующий берет за основу слова из словаря, но к каждому из них применяет простые правила модификации: добавляет цифры в конце, например password2025, заменяет буквы похожими символами, например P@ssw0rd, или меняет регистр. Этот метод особенно опасен, так как позволяет подбирать пароли, которые пользователи считают сложными, создавая их по шаблонным правилам.

Обратный брутфорс

Здесь логика атаки меняется с точностью до наоборот. Если в классическом сценарии к одному логину подбирается много паролей, то в обратном — один или несколько распространенных паролей проверяются против огромного списка логинов, например, корпоративных email-адресов.

Такой подход позволяет злоумышленникам обходить защиту, блокирующую аккаунт после нескольких неудачных попыток ввода пароля. Атака становится менее «шумной», а значит долго остается незамеченной.

Почему брутфорс опасен

Это отправная точка для цепочки событий, которая может привести к прямым финансовым убыткам, огромным штрафам от регуляторов и потере клиентов.

Последствия для сайтов и пользователей

Успешная атака открывает злоумышленнику те же возможности, что и легитимному пользователю. Масштаб ущерба зависит от уровня полученного доступа:

  • Компрометация данных. Кража баз данных с персональными данными клиентов (ФИО, паспортные данные, телефоны, адреса), что является прямым нарушением 152-ФЗ «О персональных данных». За утечку компанию могут привлечь к административной или даже уголовной ответственности.
  • Финансовые потери. Прямой вывод средств, если доступ получен к платежным системам или банковским аккаунтам.
  • Репутационный ущерб. Взломанный сайт или корпоративный аккаунт в соцсети может быть использован для распространения ложной информации, фишинга или вредоносного контента, что подрывает доверие клиентов.
  • Использование ресурсов. Злоумышленники часто используют скомпрометированные серверы для майнинга криптовалют, размещения запрещенного контента или в качестве плацдарма для атак на другие системы.
  • Шантаж и вымогательство. Данные могут быть зашифрованы или украдены с последующим требованием выкупа.

Реальные примеры атак

Постоянный перебор учеток к публичным серверам

Публичные SSH-серверы ежедневно подвергаются тысячам автоматических атак, и здесь часто используется брутфорс, чтобы найти сервер со слабым паролем. Обычный сервер может получать от 2 000 до 5 000 попыток взлома SSH в день. 

Российская хостинг-компания из Екатеринбурга столкнулась с астрономическим счетом за электроэнергию — 450 тысяч рублей вместо обычных 30 тыс. Все дело в том, что злоумышленники подобрали простой пароль к SSH и использовали доступные вычислительные ресурсы клиентов для майнинга криптовалюты.

Взлом систем управления контентом

«Лаборатория Касперского» обнаружила вредоносную программу Efimer, которая крала криптовалюту с компьютеров жертв. Ее особенностью был дополнительный модуль для атаки на сайты. При каждом запуске вирус пытался взломать административную панель движка WordPress, автоматически подбирая пароль из вшитого в его код короткого списка самых простых комбинаций.

Эта функция превращала каждый зараженный компьютер в инструмент для брутфорс-атак. Если пароль администратора сайта совпадал с одним из вариантов в списке, злоумышленники получали полный контроль над ресурсом. Это могло привести к его дальнейшему заражению, размещению мошеннического контента или использованию в других атаках.

Атаки на критическую инфраструктуру

Инциденты показывают, что даже важнейшие объекты могут быть уязвимы перед простым перебором, например взлом системы управления плотиной в Норвегии.  Хакерам удалось получить доступ к веб-интерфейсу управления шлюзом плотины и на четыре часа открыть клапан. Эксперты считают, что атака стала возможной из-за использования слабого пароля для доступа — его взломали за минуту.

Как предотвратить брутфорс

Одного надежного пароля недостаточно, чтобы остановить брутфорс. Успешная защита строится на последовательных рубежах: если атакующий преодолевает один, его останавливает следующий. Правильная комбинация технических настроек и политик безопасности делает автоматический перебор бесполезным.

Ограничить попытки входа

Одна из самых эффективных технических мер. Ее суть — заблокировать IP-адрес или учетную запись после определенного числа неудачных попыток входа за короткий промежуток времени. Например, 5 попыток за 5 минут. Это резко замедляет автоматизированный перебор и делает его экономически невыгодным.

Настроить CAPTCHA и многофакторную аутентификацию 

CAPTCHA (или ее более современная версия reCAPTCHA) — это проверка, которая позволяет отличить человека от бота. Ее включение на страницу входа останавливает автоматизированные скрипты, так как требует человеческого взаимодействия для решения задачи.

Многофакторная аутентификация (2FA) — золотой стандарт защиты. Даже если пароль будет подобран, злоумышленнику для входа потребуется второй фактор, например одноразовый код из SMS, приложения-аутентификатора, push-уведомление или физический ключ безопасности. Это делает скомпрометированный пароль бесполезным.

Использовать сильные пароли 

Политика создания сложных паролей — фундамент безопасности против любой угрозы, включая брутфорс:

  • Минимальная рекомендуемая длина — 12 символов, для критичных систем — 16 и более.
  • Пароль должен быть случайным набором символов. Избегайте осмысленных слов, дат, имен.
  • Для каждого сервиса должен быть свой пароль, чтобы компрометация одного аккаунта не привела к взлому остальных.
  • Использование менеджеров паролей: такие сервисы генерируют, хранят и автоматически подставляют сложные уникальные пароли, освобождая пользователя от необходимости их запоминать.

Надежно защищать серверы

Для защиты инфраструктуры необходимы административные меры:

  • Отключите аутентификацию по паролю для SSH: использование пары криптографических ключей (публичного и приватного) вместо пароля делает подбор невозможным.
  • Смените стандартные порты: перенос SSH с порта 22 на нестандартный снижает количество фонового сканирования и автоматических атак.
  • Используйте принцип наименьших привилегий: каждая учетная запись в системе должна иметь ровно столько прав, сколько необходимо для работы, и не более. Это ограничивает ущерб в случае взлома.
  • Регулярно обновляйте ПО: устаревшее программное обеспечение, включая CMS и плагины, часто содержит уязвимости, которые могут упростить задачу атакующему, даже если пароль надежен.

Инструменты и сервисы для защиты

Для реализации защитных мер есть ряд проверенных инструментов: от бесплатных решений до комплексных облачных сервисов.

Fail2Ban и аналоги

Fail2Ban — инструмент для автоматического реагирования на уже обнаруженную в логах угрозу. Он постоянно сканирует логи в реальном времени и сам выполняет действие — блокирует атакующий IP. Обнаружив в логах несколько неудачных попыток входа с одного IP-адреса за заданный период, Fail2Ban автоматически добавляет правило для его блокировки в фаервол на определенное время.

Веб-приложение фаервол (WAF) — специальный фильтр, который анализирует HTTP-трафик, идущий к вашему веб-сайту. Современные WAF имеют встроенные правила для обнаружения и блокировки брутфорс-атак. Они могут отличать легитимные запросы на авторизацию от автоматизированного перебора, анализируя поведенческие паттерны.

Мониторинг логов

Мониторинг логов — ручной или автоматизированный анализ записей системных событий. Такой анализ позволяет не только задним числом расследовать инциденты, но и выявлять сложные аномалии, которые не улавливаются простыми правилами. Специалист изучает логи, чтобы увидеть полную картину атаки, понять ее источник, масштаб и найти следы скрытого взлома, который мог обойти автоматическую блокировку.

Чтобы остановить брутфорс, обращают внимание на:

  • Неудачные попытки входа — их резкий рост с определенных IP-адресов или для определенных учетных записей.
  • Необычное время активности — попытки входа в нерабочие часы.
  • Геолокацию IP — входы из стран, где у компании нет пользователей или партнеров.

Для автоматизации мониторинга используются системы SIEM (Security Information and Event Management), которые агрегируют логи со всех источников, коррелируют события и генерируют оповещения о подозрительной активности.

Заключение

Брутфорс — это не анахронизм, а живая и постоянно эволюционирующая угроза. Эффективность атаки основана на человеческом факторе: слабых паролях, повторном использовании учетных данных и недостаточной настройке базовых мер защиты. Проверьте свои системы сегодня. Убедитесь, что для всех критичных сервисов включена 2FA, настроены правила блокировки при множественных неудачах, а пароли соответствуют современным стандартам сложности.

Фотография Дмитрий Мельников Дмитрий Мельников Руководитель группы
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться