Przejdź do treści
Powrót do Centrum Pomocy
Microsoft Licencja
Bezpieczeństwo

Atak brute force — co to jest, jak działa i jak się przed nim skutecznie bronić

Atak brute force to najprostsza koncepcyjnie forma kryptoanalizy: atakujący próbuje każdego możliwego klucza lub hasła, aż natrafi na właściwe. Nie wykorzystuje

14 min czytania·Zaktualizowano 1 miesiąc temu

Atak brute force (z ang. siłowe łamanie) to metoda cyberataku polegająca na systematycznym sprawdzaniu wszystkich możliwych kombinacji hasła, klucza szyfrującego lub danych logowania, aż do znalezienia poprawnego rozwiązania. W przeciwieństwie do wyrafinowanych ataków wykorzystujących luki w oprogramowaniu, brute force nie wymaga żadnej wiedzy o ofierze — opiera się wyłącznie na czystej mocy obliczeniowej i czasie. Mimo że koncepcja ma kilkadziesiąt lat, w 2026 roku pozostaje jedną z najczęstszych technik przełamywania zabezpieczeń — głównie dzięki dostępności wydajnych kart graficznych (GPU) i botnetów.

W skrócie

  • Metoda zgadywania haseł i kluczy przez sprawdzanie wszystkich możliwych kombinacji znaków — krok po kroku, bez strategii intelektualnej
  • W 2022 roku 8 kart NVIDIA RTX 4090 złamało 200 miliardów kombinacji haseł NTLM w 48 minut (test z narzędziem Hashcat)
  • Podstawowe typy: prosty brute force, słownikowy, hybrydowy, odwrócony (password spraying) oraz credential stuffing
  • Główna obrona: długie hasła (12+ znaków), uwierzytelnianie dwuskładnikowe (MFA), limit prób logowania, blokada IP i hashowanie z solą
  • Współczesne szyfrowanie 256-bitowe jest praktycznie odporne na brute force — złamanie zajęłoby miliardy lat nawet najszybszym superkomputerom
  • W 2026 roku obserwuje się wzrost ataków hybrydowych łączących słowniki z regułami generatywnymi — proste hasła przestają być jakąkolwiek ochroną

Pełna definicja

Atak brute force to najprostsza koncepcyjnie forma kryptoanalizy: atakujący próbuje każdego możliwego klucza lub hasła, aż natrafi na właściwe. Nie wykorzystuje luk w algorytmie szyfrowania ani błędów implementacji — opiera się na założeniu, że przy wystarczającej mocy obliczeniowej każdy skończony zbiór kombinacji można przeszukać w rozsądnym czasie.

W kontekście bezpieczeństwa IT rozróżnia się dwa główne scenariusze:

  1. Atak offline — atakujący zdobył już zaszyfrowane dane (np. bazę skrótów haseł) i przeprowadza atak na własnym sprzęcie, bez ryzyka wykrycia. To najgroźniejszy wariant — jedynym limitem jest moc obliczeniowa przeciwnika.
  2. Atak online — atakujący próbuje logować się do działającego systemu przez sieć (np. formularz logowania WordPress, panel SSH, RDP). Każda próba jest widoczna dla administratora; tempo ogranicza przepustowość sieci i mechanizmy obronne serwera.

W 2026 roku dominują ataki online — według raportów branżowych ataki RDP (Remote Desktop Protocol) i SSH stanowią ponad 60% wszystkich rejestrowanych prób brute force w sieciach firmowych. Zdalny pulpit Windows bez dodatkowych zabezpieczeń potrafi przyciągnąć setki prób logowania na godzinę — czasem w ciągu kilku minut od wystawienia portu do internetu.

Trzy filary skuteczności brute force

Skuteczność ataku brute force zależy od trzech zmiennych:

  1. Długość przestrzeni kluczy — liczba możliwych kombinacji. Hasło 8-znakowe z małych liter i cyfr to 36⁸ ≈ 2,8 biliona kombinacji. Hasło 12-znakowe z pełnym zestawem ASCII (95 znaków) to 95¹² ≈ 540 sekstylionów — różnica rzędu 10²⁰.
  2. Szybkość testowania — ile kombinacji na sekundę może sprawdzić sprzęt atakującego. Pojedyncza karta NVIDIA RTX 4090 testuje ~300 miliardów skrótów NTLM na sekundę; klaster 8 kart — ~2,4 biliona.
  3. Czas — przy braku limitów prób (atak offline) czas = liczba kombinacji / szybkość testowania. Przy ataku online tempo dyktują zabezpieczenia serwera (limity prób, opóźnienia, blokady).

Jak działa atak brute force — od logiki do narzędzi

Mechanizm krok po kroku

Atak brute force w praktyce wygląda następująco:

  1. Atakujący identyfikuje cel — formularz logowania, port SSH, skrót hasła z wycieku bazy danych.
  2. Wybiera metodę — prosty brute force (wszystkie kombinacje), słownikowy (lista prawdopodobnych haseł), hybrydowy (słownik z modyfikacjami) lub credential stuffing (znane pary login-hasło z innych wycieków).
  3. Konfiguruje narzędzie — najpopularniejsze to Hashcat (do łamania skrótów offline) i Hydra (do ataków online na protokoły sieciowe). Oba są open-source i aktywnie rozwijane w 2026 roku.
  4. Uruchamia atak — narzędzie generuje kolejne kombinacje i sprawdza je automatycznie, zwykle z wykorzystaniem GPU do masowej równoległej obróbki.
  5. Po znalezieniu poprawnego hasła atakujący uzyskuje dostęp — w przypadku ataku online natychmiast się loguje; w przypadku offline odszyfrowuje zaszyfrowane dane.

Narzędzia i sprzęt — co naprawdę jest w użyciu

NarzędzieTyp atakuPrzeznaczeniePrzykładowa wydajność (NTLM, 1× RTX 4090)
HashcatOfflineŁamanie skrótów haseł (MD5, SHA, NTLM, bcrypt)~300 mld haseł/s (NTLM)
John the RipperOfflineUniwersalny cracker skrótów z własnym silnikiem reguł~120 mld haseł/s (NTLM)
Hydra (THC-Hydra)OnlineAtaki na protokoły: HTTP, SSH, RDP, FTP, MySQLZależnie od sieci — tysiące prób/min
MedusaOnlinePodobna do Hydry, ale z rozproszoną architekturąZależnie od sieci
Burp Suite IntruderOnline (web)Testy penetracyjne aplikacji webowychSetki prób/min (HTTP)

Kombinacja CPU + GPU radykalnie skraca czas ataku. Procesor testujący ~30 haseł na sekundę potrzebowałby ponad 2 lat na złamanie 6-znakowego hasła z cyframi (~2 mld kombinacji). Ta sama maszyna z jedną kartą graficzną (~7100 haseł/s) robi to w 3,5 dnia. Klaster GPU — w godziny.

Przykład liczbowy: ile czasu naprawdę potrzeba?

Długość hasłaZestaw znakówLiczba kombinacjiCzas złamania (1× RTX 4090, NTLM)
6 znakówMałe litery + cyfry (36)~2,2 mld< 1 sekunda
8 znakówMałe + wielkie litery + cyfry (62)~218 bilionów~12 minut
10 znakówPełny ASCII (95)~59 trylionów (5,9×10¹⁹)~2,3 dnia
12 znakówPełny ASCII (95)~540 sekstylionów (5,4×10²³)~6,5 miliona lat
16 znakówPełny ASCII (95)~4,4×10³¹~4,7×10¹³ lat

Uwaga: powyższe wyliczenia dotyczą ataku offline na skróty NTLM — jedne z najszybszych do łamania. Dla skrótów bcrypt (z kosztem pracy cost factor 12) czas rośnie o czynnik ~100 000×. Atak online jest dodatkowo spowalniany przez sieć i mechanizmy obronne serwera.

Główne typy ataków brute force

1. Prosty brute force (exhaustive search)

Najczystsza forma: program generuje każdą możliwą kombinację znaków — aaa, aab, aac… — i testuje po kolei. Nie wymaga żadnej wiedzy o haśle, ale jest ekstremalnie powolny przy dłuższych ciągach. W praktyce stosowany głównie do krótkich haseł (≤6 znaków) i PIN-ów (4-6 cyfr).

2. Atak słownikowy (dictionary attack)

Zamiast generować wszystkie kombinacje, atakujący używa gotowej listy popularnych haseł — słowników zawierających miliony wyciekniętych haseł z poprzednich naruszeń (np. kolekcja rockyou.txt — 14 milionów unikalnych haseł). Jeśli hasło ofiary znajduje się w słowniku, atak kończy się w sekundy. W 2026 roku publicznie dostępne słowniki liczą setki milionów unikalnych wpisów.

3. Atak hybrydowy

Łączy słownik z modyfikacjami: do każdego słowa ze słownika dodawane są przyrostki (np. 123, 2026, !), przedrostki, zamiana liter na cyfry (leet speak: passwordp4ssw0rd). To najskuteczniejsza technika przeciwko użytkownikom, którzy "wzmacniają" proste hasła doklejając cyfry lub wykrzyknik.

4. Odwrócony brute force (password spraying)

Zamiast testować wiele haseł dla jednego użytkownika, atakujący testuje jedno popularne hasło (np. Password123!, Firma2026!) przeciwko wielu nazwom użytkowników. Omija to blokady konta po kilku nieudanych próbach — każde konto dostaje tylko jedną próbę. Microsoft regularnie raportuje fale password sprayingu wymierzone w konta Microsoft 365 i Azure AD.

5. Credential stuffing (upychanie poświadczeń)

Wykorzystuje fakt, że ludzie notorycznie używają tych samych haseł w wielu serwisach. Atakujący bierze pary login-hasło wykradzione z jednego serwisu (np. wyciek z małego forum) i testuje je masowo w innych — bankach, sklepach, mediach społecznościowych. Boty automatyzują ten proces na setkach serwisów jednocześnie. Według danych branżowych z 2025 roku próby credential stuffingu stanowią ponad 30% całego ruchu logowania w dużych serwisach e-commerce.

Porównanie typów ataków brute force

CechaProsty brute forceSłownikowyOdwrócony (spraying)Credential stuffing
CelJedno kontoJedno kontoWiele kontWiele kont w wielu serwisach
Liczba testowanych hasełWszystkie kombinacjeMiliony z listyKilka-kilkanaście popularnychZnane pary z wycieków
Czy omija lockout konta?❌ Nie❌ Nie✅ Tak✅ Tak
Skuteczność na silne hasła✅ Teoretycznie tak (ale wolno)❌ Nie❌ Nie❌ Nie
Wymagana wiedza o ofierzeŻadnaŻadnaNazwy użytkownikówZnane pary login-hasło
Typowe narzędzieHashcat (mask attack)Hashcat (wordlist)Hydra, custom skryptyOpenBullet, SNIPR

Jak się bronić przed atakiem brute force — metody po stronie serwera i użytkownika

Zabezpieczenia po stronie administratora systemu

MetodaJak działaSkuteczność
Limit prób logowaniaPo 3-5 nieudanych próbach konto blokowane na kilka minut✅✅✅ Wysoka — uniemożliwia szybkie testowanie
Opóźnienie po nieudanej próbieKażda kolejna nieudana próba wymaga dłuższego oczekiwania (exponential backoff)✅✅ Średnio-wysoka — spowalnia atak online
Blokada IP / denylistBlokowanie adresów IP po przekroczeniu progu prób z jednego źródła✅✅ Średnia — atakujący zmienia IP (botnet, proxy)
CAPTCHAWeryfikacja "czy jesteś człowiekiem" po kilku nieudanych próbach✅✅ Średnia — istnieją usługi omijania CAPTCHA
Uwierzytelnianie dwuskładnikowe (MFA/2FA)Drugi składnik: kod SMS, aplikacja TOTP, klucz sprzętowy FIDO2✅✅✅✅ Bardzo wysoka — nawet znając hasło atakujący nie wejdzie
Hashowanie haseł z soląKażde hasło ma unikalną losową sól przed hashowaniem; użycie bcrypt/Argon2 z wysokim kosztem pracy✅✅✅ Wysoka — spowalnia atak offline o rzędy wielkości
Monitorowanie logów i WAFWeb Application Firewall wykrywa i blokuje nietypowe wzorce ruchu✅✅ Średnio-wysoka — warstwa wczesnego ostrzegania
Klucze dostępu (passkeys)Uwierzytelnianie FIDO2/WebAuthn eliminujące hasła całkowicie✅✅✅✅✅ Najwyższa — brak hasła = brak celu dla brute force

Dobre praktyki dla użytkownika końcowego

  1. Używaj haseł o długości minimum 12 znaków, zawierających małe i wielkie litery, cyfry oraz znaki specjalne. Hasło 8-znakowe łamie się w godziny; 12-znakowe — poza zasięgiem współczesnego sprzętu.
  2. Nie używaj tych samych haseł w różnych serwisach — credential stuffing to bezpośrednia konsekwencja recyklingu haseł. Każdy serwis = unikalne hasło.
  3. Korzystaj z menedżera haseł (np. wbudowanego w system Windows lub przeglądarkę) — przechowuje silne, losowe hasła w zaszyfrowanym sejfie. Pamiętasz tylko jedno hasło główne.
  4. Włącz MFA wszędzie, gdzie to możliwe — drugi składnik (aplikacja autoryzująca, klucz U2F) sprawia, że nawet wyciek hasła nie daje dostępu.
  5. Sprawdzaj, czy hasło wyciekło — serwisy takie jak Have I Been Pwned informują, czy twój adres e-mail lub hasło pojawiły się w znanych wyciekach.
  6. Unikaj oczywistych wzorców: imię + rok urodzenia, "admin", "password", "123456", nazwa firmy + bieżący rok.

Częste pytania

Czy atak brute force jest nadal groźny w 2026 roku?

Tak — i to bardziej niż kiedykolwiek wcześniej. Choć samo szyfrowanie (AES-256, współczesne TLS) jest praktycznie odporne, to hasła użytkowników pozostają najsłabszym ogniwem. Wzrost mocy GPU, dostępność botnetów na wynajem (DDoS-for-hire obejmuje też brute force) oraz miliardy wykradzionych poświadczeń dostępnych w dark webie sprawiają, że ataki online — szczególnie credential stuffing i password spraying — są powszechne i skuteczne przeciwko słabym hasłom. W 2025 roku Microsoft blokował średnio 7 000 ataków password sprayingu na sekundę w swoich systemach tożsamości.

Jaka jest różnica między atakiem brute force a atakiem słownikowym?

Atak brute force testuje wszystkie możliwe kombinacje znaków po kolei (np. aaa, aab, aac…), nie korzystając z żadnej listy. Atak słownikowy używa gotowej listy często występujących haseł (np. "password123", "qwerty", "polska2025"). Brute force jest teoretycznie skuteczniejszy (w końcu znajdzie każde hasło), ale ekstremalnie powolny przy dłuższych ciągach. Słownikowy jest natychmiastowy dla haseł z listy, ale bezradny wobec silnych, losowych haseł spoza słownika. W praktyce najczęściej stosuje się ataki hybrydowe łączące obie techniki.

Czy włączenie MFA całkowicie chroni przed brute force?

W praktyce tak — MFA eliminuje ryzyko przejęcia konta nawet wtedy, gdy atakujący pozna hasło. Nie chroni jednak przed samym faktem przeprowadzenia ataku (serwer wciąż odbiera próby logowania) ani przed atakiem offline na skradzione skróty haseł. Ponadto atakujący coraz częściej próbują omijać MFA przez phishing w czasie rzeczywistym (ataki adversary-in-the-middle) lub zmęczenie użytkownika powiadomieniami (MFA fatigue). Dlatego w 2026 roku rekomenduje się MFA oparte na FIDO2/kluczach sprzętowych, odporne na phishing.

Ile czasu zajmuje złamanie 8-znakowego hasła?

Zależy od zestawu znaków i metody hashowania. Przy użyciu jednej karty NVIDIA RTX 4090: hasło 8-znakowe składające się z małych i wielkich liter oraz cyfr (62 znaki, ~218 bilionów kombinacji) na skrótach NTLM — około 12 minut. To samo hasło zabezpieczone algorytmem bcrypt z cost factor 12 — ponad 2 lata. Przy haśle 8-znakowym z pełnego ASCII (95 znaków) na NTLM — około 2 godzin. Wniosek: 8 znaków to za mało w 2026 roku — absolutne minimum to 12 znaków.

Czym jest credential stuffing i dlaczego jest tak niebezpieczny?

Credential stuffing (upychanie poświadczeń) to atak polegający na automatycznym testowaniu par login-hasło wykradzionych z jednego serwisu na innych serwisach. Jest niebezpieczny z trzech powodów: (1) wykorzystuje naturalną skłonność ludzi do recyklingu haseł — według badań około 60% użytkowników używa tych samych haseł w kilku serwisach; (2) omija blokady konta, bo każde konto otrzymuje tylko jedną lub dwie próby; (3) skala jest masowa — bot może przetestować miliony kombinacji na dziesiątkach serwisów jednocześnie. W 2025 roku credential stuffing odpowiadał za około 30% wszystkich prób logowania w dużych platformach e-commerce.

Czy Windows ma wbudowaną ochronę przed brute force?

Tak, nowoczesne wersje Windows (10, 11 oraz Windows Server 2019/2022) zawierają wbudowane mechanizmy: domyślną blokadę konta po określonej liczbie nieudanych prób (konfigurowalna przez Group Policy), Windows Defender Firewall z regułami ograniczającymi ruch RDP oraz Windows Hello for Business oferujący uwierzytelnianie biometryczne i PIN, które nie są podatne na brute force w takim stopniu jak hasła. W środowiskach firmowych dodatkową warstwę zapewnia Microsoft Entra ID (dawniej Azure AD) z wbudowaną detekcją password sprayingu i inteligentnym blokowaniem (smart lockout).

Czy kupno klucza Windows w dobrej cenie pomaga w bezpieczeństwie?

Legalna, w pełni funkcjonalna licencja Windows — dokładnie taka, jaką oferuje KluczeSoft.pl — daje dostęp do wszystkich zabezpieczeń systemu: Windows Defender, Windows Hello, BitLocker, Microsoft Defender SmartScreen oraz pełnych aktualizacji bezpieczeństwa, które Microsoft wydaje co miesiąc (Patch Tuesday). Korzystanie z nielicencjonowanego lub podejrzanie taniego systemu często wiąże się z wyłączonymi aktualizacjami lub zablokowanymi funkcjami ochrony, co bezpośrednio zwiększa podatność na ataki — w tym brute force przez RDP. Legalna licencja za ułamek ceny detalicznej to nie tylko oszczędność, ale przede wszystkim fundament bezpieczeństwa całego komputera.


KluczeSoft.pl jest niezależnym sprzedawcą — nie jesteśmy afiliowani z Microsoft Corporation. Microsoft, Windows, Office i pokrewne znaki towarowe należą do Microsoft.

Sprawdź też

<!-- IL-V1 -->

Powiązane artykuły

Najczęściej zadawane pytania

Tak — i to bardziej niż kiedykolwiek wcześniej. Choć samo szyfrowanie (AES-256, współczesne TLS) jest praktycznie odporne, to hasła użytkowników pozostają najsłabszym ogniwem. Wzrost mocy GPU, dostępność botnetów na wynajem (DDoS-for-hire obejmuje też brute force) oraz miliardy wykradzionych poświadczeń dostępnych w dark webie sprawiają, że ataki online — szczególnie credential stuffing i password spraying — są powszechne i skuteczne przeciwko słabym hasłom. W 2025 roku Microsoft blokował średnio 7 000 ataków password sprayingu na sekundę w swoich systemach tożsamości.
Atak brute force testuje **wszystkie** możliwe kombinacje znaków po kolei (np. `aaa`, `aab`, `aac`…), nie korzystając z żadnej listy. Atak słownikowy używa gotowej listy często występujących haseł (np. "password123", "qwerty", "polska2025"). Brute force jest teoretycznie skuteczniejszy (w końcu znajdzie każde hasło), ale ekstremalnie powolny przy dłuższych ciągach. Słownikowy jest natychmiastowy dla haseł z listy, ale bezradny wobec silnych, losowych haseł spoza słownika. W praktyce najczęściej stosuje się ataki hybrydowe łączące obie techniki.
W praktyce **tak** — MFA eliminuje ryzyko przejęcia konta nawet wtedy, gdy atakujący pozna hasło. Nie chroni jednak przed samym faktem przeprowadzenia ataku (serwer wciąż odbiera próby logowania) ani przed atakiem offline na skradzione skróty haseł. Ponadto atakujący coraz częściej próbują omijać MFA przez phishing w czasie rzeczywistym (ataki *adversary-in-the-middle*) lub zmęczenie użytkownika powiadomieniami (MFA fatigue). Dlatego w 2026 roku rekomenduje się MFA oparte na FIDO2/kluczach sprzętowych, odporne na phishing.
Zależy od zestawu znaków i metody hashowania. Przy użyciu jednej karty NVIDIA RTX 4090: hasło 8-znakowe składające się z małych i wielkich liter oraz cyfr (62 znaki, ~218 bilionów kombinacji) na skrótach NTLM — około 12 minut. To samo hasło zabezpieczone algorytmem bcrypt z cost factor 12 — ponad 2 lata. Przy haśle 8-znakowym z pełnego ASCII (95 znaków) na NTLM — około 2 godzin. Wniosek: 8 znaków to **za mało** w 2026 roku — absolutne minimum to 12 znaków.
Credential stuffing (upychanie poświadczeń) to atak polegający na automatycznym testowaniu par login-hasło wykradzionych z jednego serwisu na innych serwisach. Jest niebezpieczny z trzech powodów: (1) wykorzystuje naturalną skłonność ludzi do recyklingu haseł — według badań około 60% użytkowników używa tych samych haseł w kilku serwisach; (2) omija blokady konta, bo każde konto otrzymuje tylko jedną lub dwie próby; (3) skala jest masowa — bot może przetestować miliony kombinacji na dziesiątkach serwisów jednocześnie. W 2025 roku credential stuffing odpowiadał za około 30% wszystkich prób logowania w dużych platformach e-commerce.
Tak, nowoczesne wersje Windows (10, 11 oraz Windows Server 2019/2022) zawierają wbudowane mechanizmy: domyślną blokadę konta po określonej liczbie nieudanych prób (konfigurowalna przez Group Policy), Windows Defender Firewall z regułami ograniczającymi ruch RDP oraz Windows Hello for Business oferujący uwierzytelnianie biometryczne i PIN, które nie są podatne na brute force w takim stopniu jak hasła. W środowiskach firmowych dodatkową warstwę zapewnia Microsoft Entra ID (dawniej Azure AD) z wbudowaną detekcją password sprayingu i inteligentnym blokowaniem (smart lockout).
Legalna, w pełni funkcjonalna licencja Windows — dokładnie taka, jaką oferuje [KluczeSoft.pl](https://kluczesoft.pl/klucze-windows) — daje dostęp do wszystkich zabezpieczeń systemu: Windows Defender, Windows Hello, BitLocker, Microsoft Defender SmartScreen oraz pełnych aktualizacji bezpieczeństwa, które Microsoft wydaje co miesiąc (Patch Tuesday). Korzystanie z nielicencjonowanego lub podejrzanie taniego systemu często wiąże się z wyłączonymi aktualizacjami lub zablokowanymi funkcjami ochrony, co bezpośrednio zwiększa podatność na ataki — w tym brute force przez RDP. Legalna licencja za ułamek ceny detalicznej to nie tylko oszczędność, ale przede wszystkim fundament bezpieczeństwa całego kom

Czy ten artykuł był pomocny?

Atak brute force — co to jest, jak działa i jak się przed… | Centrum Pomocy KluczeSoft