Een brute-force aanval is een methode waarbij een aanvaller automatisch grote aantallen wachtwoorden of inlogcombinaties probeert totdat er één werkt. De aanval berust niet op een slimme kwetsbaarheid, maar op volharding en rekenkracht: een script blijft simpelweg combinaties proberen totdat een geldige toegang wordt gevonden.
Dit gebeurt meestal bij inlogschermen van websites, e-maildiensten of beheerpaneels. Aanvallers gebruiken geautomatiseerde programma’s die duizenden of zelfs miljoenen pogingen per uur kunnen uitvoeren. Wanneer wachtwoorden zwak of hergebruikt zijn, stijgt de kans dat zo’n poging uiteindelijk slaagt.
Het probleem zit niet alleen in het mogelijke succes van de aanval. Grote aantallen inlogpogingen kunnen ook serverbelasting veroorzaken of logbestanden vullen, waardoor een systeem trager wordt of moeilijker te monitoren is. Daarom worden brute-force pogingen vaak zichtbaar als een reeks mislukte logins vanaf hetzelfde adres of vanuit een wisselende reeks IP-adressen.
Een brute-force aanval is daarmee een typisch voorbeeld van een aanval die weinig verfijning vraagt maar wel voortdurend voorkomt, het soort achtergrondruis waar een websitebeheerder rekening mee moet houden, ook als er geen directe schade zichtbaar is.