Il Brute Force Attack, o attacco a forza bruta, è un metodo per tentare di decifrare una password, una chiave crittografica o un dato semplicemente tenando ogni possibile password o chiave di decifrazione tra le possibili combinazioni. L'attacco a forza bruta è altamente inefficiente, quindi di solito viene utilizzato come ultima risorsa contro un sistema che non è in grado di resistere ad altri metodi di attacco più efficienti.

Nel contesto della crittografia, un problema o un calcolo è considerato "difficile" se il miglior metodo possibile per risolverlo è un attacco a forza bruta. Questo perché l'attacco a forza bruta viene solitamente utilizzato solo quando nessun algoritmo o altro metodo è in grado di risolvere il problema.

La difficoltà di un BFA può essere calcolata semplicemente prendendo il numero di valori validi - di solito uno solo - e dividendolo per il numero di valori possibili. Ad esempio, una chiave privata Bitcoin è solitamente lunga 256 bit. Il tempo necessario per indovinare una password cresce in modo esponenziale (e non lineare) al crescere della lunghezza della password. Per questo motivo, la dimensione dei bit delle chiavi crittografiche è aumentata gradualmente, passando da uno standard iniziale di 56 bit fino allo standard moderno di 128 o 256 bit. Per forzare una specifica chiave privata Bitcoin con il BFA, un aggressore dovrebbe indovinare correttamente ciascuno dei 256 bit che la compongono, e poiché ogni bit ha due valori possibili (1 o 0), l'aggressore deve indovinare da una gamma di 2^256 (circa 10^77) valori possibili. In confronto, un numero di carta di credito di 16 cifre più un codice di sicurezza di 3 cifre ha una gamma di 10^19 possibilità. Questo uno degli elementi che rende Bitcoin molto più sicuro dei sistemi finanziari tradizionali.

La maggior parte dei sistemi che richiedono password chiede agli utenti di includere lettere maiuscole, numeri e caratteri speciali per ridurre l'efficacia degli attacchi brute force. Questo funziona perché maggiore è il numero di password possibili, più difficile è il BFA.

I BFA prevedono l'uso di un software complesso per inondare un sistema con ogni potenziale password o chiave al fine di trovare il valore corretto. In teoria, un attacco di questo tipo potrebbe essere utilizzato per indovinare qualsiasi password o chiave e ottenere l'accesso ai dati crittografati. La quantità di tempo teorica necessaria per il successo di un attacco di forza bruta è utilizzata come misura chiave della forza di un sistema di crittografia. Le risorse necessarie per condurre con successo un attacco di forza bruta su un sistema ben protetto sono considerevoli. I supercomputer stessi richiedono condizioni ambientali estremamente controllate e hanno requisiti energetici molto elevati. Le moderne GPU e l'hardware dedicato noto come ASIC - entrambi molto diffusi - si prestano molto bene alle operazioni di violazione delle password e sono accessibili praticamente a chiunque.

Piuttosto che l'uso della forza bruta, l'accesso illegittimo ai sistemi che utilizzano questo tipo di protezione si basa generalmente sullo sfruttamento di un errore umano nell'implementazione del sistema.

Esistono delle specializzazioni degli attacchi rispetto al Brute Force, ad esempio il Dictionary che si basa appunto su dizionario dei valori più utilizzati, o effettuando dei tentativi con password comunemente utilizzate o con combinazioni di lettere e numeri. Anche se i BFA possono essere intensivi dal punto di vista computazionale, richiedono molto tempo e sono difficili da portare a termine, possono indovinare correttamente una password debole in pochi secondi. Una password forte può scoraggiare la maggior parte dei BFA.