Une attaque par force brute (brute force) consiste à tester systématiquement toutes les combinaisons possibles de mots de passe jusqu'à trouver la bonne. Des outils automatisés permettent de tester des millions de combinaisons par seconde.
Un mot de passe court ou simple peut être cracké en quelques secondes. Un mot de passe de 12 caractères complexes rendra l'attaque impraticable pendant des années.
Les contre-mesures incluent : mots de passe longs, blocage du compte après plusieurs tentatives échouées, CAPTCHA et authentification à deux facteurs.