Een brute-force-aanval probeert systematisch wachtwoorden of sleutels tot er één werkt. Geen slimme truc, maar volhouden — geautomatiseerd, met duizenden pogingen per seconde. Elke server met een open SSH-poort krijgt er dagelijks mee te maken.
| Variant | Werkwijze |
|---|---|
| Pure brute force | Alle combinaties proberen |
| Dictionary attack | Lijsten met veelgebruikte wachtwoorden |
| Credential stuffing | Gelekte wachtwoorden van andere sites hergebruiken |
| Password spraying | Eén veelvoorkomend wachtwoord tegen veel accounts (vermijdt lockouts) |
Elk extra teken vermenigvuldigt het aantal mogelijkheden. Een wachtwoord van 8 tekens is offline in uren te kraken; een wachtzin van 4 losse woorden houdt het eeuwen vol. Complexiteitsregels ("minimaal één leesteken") helpen veel minder dan lengte.