Atak brute force (z ang. siłowe łamanie) to metoda cyberataku polegająca na systematycznym sprawdzaniu wszystkich możliwych kombinacji hasła, klucza szyfrującego lub danych logowania, aż do znalezienia poprawnego rozwiązania. W przeciwieństwie do wyrafinowanych ataków wykorzystujących luki w oprogramowaniu, brute force nie wymaga żadnej wiedzy o ofierze — opiera się wyłącznie na czystej mocy obliczeniowej i czasie. Mimo że koncepcja ma kilkadziesiąt lat, w 2026 roku pozostaje jedną z najczęstszych technik przełamywania zabezpieczeń — głównie dzięki dostępności wydajnych kart graficznych (GPU) i botnetów.
W skrócie
- Metoda zgadywania haseł i kluczy przez sprawdzanie wszystkich możliwych kombinacji znaków — krok po kroku, bez strategii intelektualnej
- W 2022 roku 8 kart NVIDIA RTX 4090 złamało 200 miliardów kombinacji haseł NTLM w 48 minut (test z narzędziem Hashcat)
- Podstawowe typy: prosty brute force, słownikowy, hybrydowy, odwrócony (password spraying) oraz credential stuffing
- Główna obrona: długie hasła (12+ znaków), uwierzytelnianie dwuskładnikowe (MFA), limit prób logowania, blokada IP i hashowanie z solą
- Współczesne szyfrowanie 256-bitowe jest praktycznie odporne na brute force — złamanie zajęłoby miliardy lat nawet najszybszym superkomputerom
- W 2026 roku obserwuje się wzrost ataków hybrydowych łączących słowniki z regułami generatywnymi — proste hasła przestają być jakąkolwiek ochroną
Pełna definicja
Atak brute force to najprostsza koncepcyjnie forma kryptoanalizy: atakujący próbuje każdego możliwego klucza lub hasła, aż natrafi na właściwe. Nie wykorzystuje luk w algorytmie szyfrowania ani błędów implementacji — opiera się na założeniu, że przy wystarczającej mocy obliczeniowej każdy skończony zbiór kombinacji można przeszukać w rozsądnym czasie.
W kontekście bezpieczeństwa IT rozróżnia się dwa główne scenariusze:
- Atak offline — atakujący zdobył już zaszyfrowane dane (np. bazę skrótów haseł) i przeprowadza atak na własnym sprzęcie, bez ryzyka wykrycia. To najgroźniejszy wariant — jedynym limitem jest moc obliczeniowa przeciwnika.
- Atak online — atakujący próbuje logować się do działającego systemu przez sieć (np. formularz logowania WordPress, panel SSH, RDP). Każda próba jest widoczna dla administratora; tempo ogranicza przepustowość sieci i mechanizmy obronne serwera.
W 2026 roku dominują ataki online — według raportów branżowych ataki RDP (Remote Desktop Protocol) i SSH stanowią ponad 60% wszystkich rejestrowanych prób brute force w sieciach firmowych. Zdalny pulpit Windows bez dodatkowych zabezpieczeń potrafi przyciągnąć setki prób logowania na godzinę — czasem w ciągu kilku minut od wystawienia portu do internetu.
Trzy filary skuteczności brute force
Skuteczność ataku brute force zależy od trzech zmiennych:
- Długość przestrzeni kluczy — liczba możliwych kombinacji. Hasło 8-znakowe z małych liter i cyfr to 36⁸ ≈ 2,8 biliona kombinacji. Hasło 12-znakowe z pełnym zestawem ASCII (95 znaków) to 95¹² ≈ 540 sekstylionów — różnica rzędu 10²⁰.
- Szybkość testowania — ile kombinacji na sekundę może sprawdzić sprzęt atakującego. Pojedyncza karta NVIDIA RTX 4090 testuje ~300 miliardów skrótów NTLM na sekundę; klaster 8 kart — ~2,4 biliona.
- Czas — przy braku limitów prób (atak offline) czas = liczba kombinacji / szybkość testowania. Przy ataku online tempo dyktują zabezpieczenia serwera (limity prób, opóźnienia, blokady).
Jak działa atak brute force — od logiki do narzędzi
Mechanizm krok po kroku
Atak brute force w praktyce wygląda następująco:
- Atakujący identyfikuje cel — formularz logowania, port SSH, skrót hasła z wycieku bazy danych.
- Wybiera metodę — prosty brute force (wszystkie kombinacje), słownikowy (lista prawdopodobnych haseł), hybrydowy (słownik z modyfikacjami) lub credential stuffing (znane pary login-hasło z innych wycieków).
- Konfiguruje narzędzie — najpopularniejsze to Hashcat (do łamania skrótów offline) i Hydra (do ataków online na protokoły sieciowe). Oba są open-source i aktywnie rozwijane w 2026 roku.
- Uruchamia atak — narzędzie generuje kolejne kombinacje i sprawdza je automatycznie, zwykle z wykorzystaniem GPU do masowej równoległej obróbki.
- Po znalezieniu poprawnego hasła atakujący uzyskuje dostęp — w przypadku ataku online natychmiast się loguje; w przypadku offline odszyfrowuje zaszyfrowane dane.
Narzędzia i sprzęt — co naprawdę jest w użyciu
| Narzędzie | Typ ataku | Przeznaczenie | Przykładowa wydajność (NTLM, 1× RTX 4090) |
|---|---|---|---|
| Hashcat | Offline | Łamanie skrótów haseł (MD5, SHA, NTLM, bcrypt) | ~300 mld haseł/s (NTLM) |
| John the Ripper | Offline | Uniwersalny cracker skrótów z własnym silnikiem reguł | ~120 mld haseł/s (NTLM) |
| Hydra (THC-Hydra) | Online | Ataki na protokoły: HTTP, SSH, RDP, FTP, MySQL | Zależnie od sieci — tysiące prób/min |
| Medusa | Online | Podobna do Hydry, ale z rozproszoną architekturą | Zależnie od sieci |
| Burp Suite Intruder | Online (web) | Testy penetracyjne aplikacji webowych | Setki prób/min (HTTP) |
Kombinacja CPU + GPU radykalnie skraca czas ataku. Procesor testujący ~30 haseł na sekundę potrzebowałby ponad 2 lat na złamanie 6-znakowego hasła z cyframi (~2 mld kombinacji). Ta sama maszyna z jedną kartą graficzną (~7100 haseł/s) robi to w 3,5 dnia. Klaster GPU — w godziny.
Przykład liczbowy: ile czasu naprawdę potrzeba?
| Długość hasła | Zestaw znaków | Liczba kombinacji | Czas złamania (1× RTX 4090, NTLM) |
|---|---|---|---|
| 6 znaków | Małe litery + cyfry (36) | ~2,2 mld | < 1 sekunda |
| 8 znaków | Małe + wielkie litery + cyfry (62) | ~218 bilionów | ~12 minut |
| 10 znaków | Pełny ASCII (95) | ~59 trylionów (5,9×10¹⁹) | ~2,3 dnia |
| 12 znaków | Pełny ASCII (95) | ~540 sekstylionów (5,4×10²³) | ~6,5 miliona lat |
| 16 znaków | Pełny ASCII (95) | ~4,4×10³¹ | ~4,7×10¹³ lat |
Uwaga: powyższe wyliczenia dotyczą ataku offline na skróty NTLM — jedne z najszybszych do łamania. Dla skrótów bcrypt (z kosztem pracy cost factor 12) czas rośnie o czynnik ~100 000×. Atak online jest dodatkowo spowalniany przez sieć i mechanizmy obronne serwera.
Główne typy ataków brute force
1. Prosty brute force (exhaustive search)
Najczystsza forma: program generuje każdą możliwą kombinację znaków — aaa, aab, aac… — i testuje po kolei. Nie wymaga żadnej wiedzy o haśle, ale jest ekstremalnie powolny przy dłuższych ciągach. W praktyce stosowany głównie do krótkich haseł (≤6 znaków) i PIN-ów (4-6 cyfr).
2. Atak słownikowy (dictionary attack)
Zamiast generować wszystkie kombinacje, atakujący używa gotowej listy popularnych haseł — słowników zawierających miliony wyciekniętych haseł z poprzednich naruszeń (np. kolekcja rockyou.txt — 14 milionów unikalnych haseł). Jeśli hasło ofiary znajduje się w słowniku, atak kończy się w sekundy. W 2026 roku publicznie dostępne słowniki liczą setki milionów unikalnych wpisów.
3. Atak hybrydowy
Łączy słownik z modyfikacjami: do każdego słowa ze słownika dodawane są przyrostki (np. 123, 2026, !), przedrostki, zamiana liter na cyfry (leet speak: password → p4ssw0rd). To najskuteczniejsza technika przeciwko użytkownikom, którzy "wzmacniają" proste hasła doklejając cyfry lub wykrzyknik.
4. Odwrócony brute force (password spraying)
Zamiast testować wiele haseł dla jednego użytkownika, atakujący testuje jedno popularne hasło (np. Password123!, Firma2026!) przeciwko wielu nazwom użytkowników. Omija to blokady konta po kilku nieudanych próbach — każde konto dostaje tylko jedną próbę. Microsoft regularnie raportuje fale password sprayingu wymierzone w konta Microsoft 365 i Azure AD.
5. Credential stuffing (upychanie poświadczeń)
Wykorzystuje fakt, że ludzie notorycznie używają tych samych haseł w wielu serwisach. Atakujący bierze pary login-hasło wykradzione z jednego serwisu (np. wyciek z małego forum) i testuje je masowo w innych — bankach, sklepach, mediach społecznościowych. Boty automatyzują ten proces na setkach serwisów jednocześnie. Według danych branżowych z 2025 roku próby credential stuffingu stanowią ponad 30% całego ruchu logowania w dużych serwisach e-commerce.
Porównanie typów ataków brute force
| Cecha | Prosty brute force | Słownikowy | Odwrócony (spraying) | Credential stuffing |
|---|---|---|---|---|
| Cel | Jedno konto | Jedno konto | Wiele kont | Wiele kont w wielu serwisach |
| Liczba testowanych haseł | Wszystkie kombinacje | Miliony z listy | Kilka-kilkanaście popularnych | Znane pary z wycieków |
| Czy omija lockout konta? | ❌ Nie | ❌ Nie | ✅ Tak | ✅ Tak |
| Skuteczność na silne hasła | ✅ Teoretycznie tak (ale wolno) | ❌ Nie | ❌ Nie | ❌ Nie |
| Wymagana wiedza o ofierze | Żadna | Żadna | Nazwy użytkowników | Znane pary login-hasło |
| Typowe narzędzie | Hashcat (mask attack) | Hashcat (wordlist) | Hydra, custom skrypty | OpenBullet, SNIPR |
Jak się bronić przed atakiem brute force — metody po stronie serwera i użytkownika
Zabezpieczenia po stronie administratora systemu
| Metoda | Jak działa | Skuteczność |
|---|---|---|
| Limit prób logowania | Po 3-5 nieudanych próbach konto blokowane na kilka minut | ✅✅✅ Wysoka — uniemożliwia szybkie testowanie |
| Opóźnienie po nieudanej próbie | Każda kolejna nieudana próba wymaga dłuższego oczekiwania (exponential backoff) | ✅✅ Średnio-wysoka — spowalnia atak online |
| Blokada IP / denylist | Blokowanie adresów IP po przekroczeniu progu prób z jednego źródła | ✅✅ Średnia — atakujący zmienia IP (botnet, proxy) |
| CAPTCHA | Weryfikacja "czy jesteś człowiekiem" po kilku nieudanych próbach | ✅✅ Średnia — istnieją usługi omijania CAPTCHA |
| Uwierzytelnianie dwuskładnikowe (MFA/2FA) | Drugi składnik: kod SMS, aplikacja TOTP, klucz sprzętowy FIDO2 | ✅✅✅✅ Bardzo wysoka — nawet znając hasło atakujący nie wejdzie |
| Hashowanie haseł z solą | Każde hasło ma unikalną losową sól przed hashowaniem; użycie bcrypt/Argon2 z wysokim kosztem pracy | ✅✅✅ Wysoka — spowalnia atak offline o rzędy wielkości |
| Monitorowanie logów i WAF | Web Application Firewall wykrywa i blokuje nietypowe wzorce ruchu | ✅✅ Średnio-wysoka — warstwa wczesnego ostrzegania |
| Klucze dostępu (passkeys) | Uwierzytelnianie FIDO2/WebAuthn eliminujące hasła całkowicie | ✅✅✅✅✅ Najwyższa — brak hasła = brak celu dla brute force |
Dobre praktyki dla użytkownika końcowego
- Używaj haseł o długości minimum 12 znaków, zawierających małe i wielkie litery, cyfry oraz znaki specjalne. Hasło 8-znakowe łamie się w godziny; 12-znakowe — poza zasięgiem współczesnego sprzętu.
- Nie używaj tych samych haseł w różnych serwisach — credential stuffing to bezpośrednia konsekwencja recyklingu haseł. Każdy serwis = unikalne hasło.
- Korzystaj z menedżera haseł (np. wbudowanego w system Windows lub przeglądarkę) — przechowuje silne, losowe hasła w zaszyfrowanym sejfie. Pamiętasz tylko jedno hasło główne.
- Włącz MFA wszędzie, gdzie to możliwe — drugi składnik (aplikacja autoryzująca, klucz U2F) sprawia, że nawet wyciek hasła nie daje dostępu.
- Sprawdzaj, czy hasło wyciekło — serwisy takie jak Have I Been Pwned informują, czy twój adres e-mail lub hasło pojawiły się w znanych wyciekach.
- Unikaj oczywistych wzorców: imię + rok urodzenia, "admin", "password", "123456", nazwa firmy + bieżący rok.
Częste pytania
Czy atak brute force jest nadal groźny w 2026 roku?
Tak — i to bardziej niż kiedykolwiek wcześniej. Choć samo szyfrowanie (AES-256, współczesne TLS) jest praktycznie odporne, to hasła użytkowników pozostają najsłabszym ogniwem. Wzrost mocy GPU, dostępność botnetów na wynajem (DDoS-for-hire obejmuje też brute force) oraz miliardy wykradzionych poświadczeń dostępnych w dark webie sprawiają, że ataki online — szczególnie credential stuffing i password spraying — są powszechne i skuteczne przeciwko słabym hasłom. W 2025 roku Microsoft blokował średnio 7 000 ataków password sprayingu na sekundę w swoich systemach tożsamości.
Jaka jest różnica między atakiem brute force a atakiem słownikowym?
Atak brute force testuje wszystkie możliwe kombinacje znaków po kolei (np. aaa, aab, aac…), nie korzystając z żadnej listy. Atak słownikowy używa gotowej listy często występujących haseł (np. "password123", "qwerty", "polska2025"). Brute force jest teoretycznie skuteczniejszy (w końcu znajdzie każde hasło), ale ekstremalnie powolny przy dłuższych ciągach. Słownikowy jest natychmiastowy dla haseł z listy, ale bezradny wobec silnych, losowych haseł spoza słownika. W praktyce najczęściej stosuje się ataki hybrydowe łączące obie techniki.
Czy włączenie MFA całkowicie chroni przed brute force?
W praktyce tak — MFA eliminuje ryzyko przejęcia konta nawet wtedy, gdy atakujący pozna hasło. Nie chroni jednak przed samym faktem przeprowadzenia ataku (serwer wciąż odbiera próby logowania) ani przed atakiem offline na skradzione skróty haseł. Ponadto atakujący coraz częściej próbują omijać MFA przez phishing w czasie rzeczywistym (ataki adversary-in-the-middle) lub zmęczenie użytkownika powiadomieniami (MFA fatigue). Dlatego w 2026 roku rekomenduje się MFA oparte na FIDO2/kluczach sprzętowych, odporne na phishing.
Ile czasu zajmuje złamanie 8-znakowego hasła?
Zależy od zestawu znaków i metody hashowania. Przy użyciu jednej karty NVIDIA RTX 4090: hasło 8-znakowe składające się z małych i wielkich liter oraz cyfr (62 znaki, ~218 bilionów kombinacji) na skrótach NTLM — około 12 minut. To samo hasło zabezpieczone algorytmem bcrypt z cost factor 12 — ponad 2 lata. Przy haśle 8-znakowym z pełnego ASCII (95 znaków) na NTLM — około 2 godzin. Wniosek: 8 znaków to za mało w 2026 roku — absolutne minimum to 12 znaków.
Czym jest credential stuffing i dlaczego jest tak niebezpieczny?
Credential stuffing (upychanie poświadczeń) to atak polegający na automatycznym testowaniu par login-hasło wykradzionych z jednego serwisu na innych serwisach. Jest niebezpieczny z trzech powodów: (1) wykorzystuje naturalną skłonność ludzi do recyklingu haseł — według badań około 60% użytkowników używa tych samych haseł w kilku serwisach; (2) omija blokady konta, bo każde konto otrzymuje tylko jedną lub dwie próby; (3) skala jest masowa — bot może przetestować miliony kombinacji na dziesiątkach serwisów jednocześnie. W 2025 roku credential stuffing odpowiadał za około 30% wszystkich prób logowania w dużych platformach e-commerce.
Czy Windows ma wbudowaną ochronę przed brute force?
Tak, nowoczesne wersje Windows (10, 11 oraz Windows Server 2019/2022) zawierają wbudowane mechanizmy: domyślną blokadę konta po określonej liczbie nieudanych prób (konfigurowalna przez Group Policy), Windows Defender Firewall z regułami ograniczającymi ruch RDP oraz Windows Hello for Business oferujący uwierzytelnianie biometryczne i PIN, które nie są podatne na brute force w takim stopniu jak hasła. W środowiskach firmowych dodatkową warstwę zapewnia Microsoft Entra ID (dawniej Azure AD) z wbudowaną detekcją password sprayingu i inteligentnym blokowaniem (smart lockout).
Czy kupno klucza Windows w dobrej cenie pomaga w bezpieczeństwie?
Legalna, w pełni funkcjonalna licencja Windows — dokładnie taka, jaką oferuje KluczeSoft.pl — daje dostęp do wszystkich zabezpieczeń systemu: Windows Defender, Windows Hello, BitLocker, Microsoft Defender SmartScreen oraz pełnych aktualizacji bezpieczeństwa, które Microsoft wydaje co miesiąc (Patch Tuesday). Korzystanie z nielicencjonowanego lub podejrzanie taniego systemu często wiąże się z wyłączonymi aktualizacjami lub zablokowanymi funkcjami ochrony, co bezpośrednio zwiększa podatność na ataki — w tym brute force przez RDP. Legalna licencja za ułamek ceny detalicznej to nie tylko oszczędność, ale przede wszystkim fundament bezpieczeństwa całego komputera.
KluczeSoft.pl jest niezależnym sprzedawcą — nie jesteśmy afiliowani z Microsoft Corporation. Microsoft, Windows, Office i pokrewne znaki towarowe należą do Microsoft.
Sprawdź też
- Atak DDoS — co to jest, jak działa i jak skutecznie chronić się przed zagrożeniem w 2026 roku
- Atak Man in the Middle (MITM) — na czym polega, jak go wykryć i jak się przed nim chronić
- Co to jest malware — definicja, rodzaje, jak działa i jak się przed nim chronić
- Co to jest ransomware — jak działa, jak się przed nim chronić i czy opłaca się płacić okup
Powiązane artykuły
- Atak DDoS — co to jest, jak działa i jak skutecznie chronić się przed zagrożeniem w 2026 roku — Istotą ataku DDoS jest wykorzystanie ogromnej liczby urządzeń — najczęściej zainfekowanych złośliwym oprogramowaniem komputerów, routerów, k.
- Socjotechnika (inżynieria społeczna) — co to jest, jak działa i jak się przed nią bronić — Socjotechnika w informatyce i cyberbezpieczeństwie opiera się na wykorzystaniu błędów poznawczych (cognitive biases), czyli naturalnych skró.
- Co to jest malware — definicja, rodzaje, jak działa i jak się przed nim chronić — Termin malware został ukuty w latach 90.
- Atak Man in the Middle (MITM) — na czym polega, jak go wykryć i jak się przed nim chronić — Atak Man in the Middle to kategoria ataków sieciowych, w których osoba trzecia (napastnik) umieszcza się w kanale komunikacyjnym pomiędzy na.
- Co to jest phishing — definicja, rodzaje, jak rozpoznać atak i skutecznie się chronić (2026) — Phishing (zbitka angielskich słów password harvesting fishing — "łowienie haseł", zapisywana przez "ph" na wzór hakerskiego slangu phreaking.
