Ataques e ameaças
Pulverização de palavras-passe
Também conhecido como: Adivinhação a baixa frequência
Definição
Ataque "low and slow" que testa um pequeno conjunto de palavras-passe comuns em muitas contas, mantendo-se abaixo dos limites de bloqueio e rate-limit.
Exemplos
- Um APT testa "Primavera2025!" durante uma hora por dia em todas as contas de um tenant Entra ID.
- Bots percorrem palavras-passe sazonais num SSL VPN corporativo à procura de utilizadores fracos.
Termos relacionados
Ataque de força bruta
Ataque que tenta sistematicamente todos os valores possíveis — normalmente palavras-passe, PIN ou chaves — até encontrar o correto.
Credential stuffing
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.
Ataque de dicionário
Ataque direcionado de adivinhação de palavras-passe que testa entradas de uma lista pré-compilada de palavras prováveis, palavras-passe vazadas e variações geradas por regras.
Autenticação quebrada
Categoria de vulnerabilidades em que falhas de autenticação ou gestão de sessão permitem a um atacante personificar utilizadores legítimos ou assumir contas.
Autenticação multifator (MFA)
Método de autenticação que exige dois ou mais fatores independentes — geralmente de categorias diferentes — antes de conceder acesso.
Password
Password — definition coming soon.