I particolari di un attacco di forza bruta

Lukas Grigas
Autore di contenuti sulla cybersicurezza
brute force attack

Un attacco di forza bruta tenta milioni di nomi utente e password al secondo per accedere a un account fino a quando non ci riesce. Questo è il nocciolo della questione. Nonostante si tratti di attacchi piuttosto semplicistici, troppo spesso hanno successo.

Oggi esamineremo il gergo per spiegare cos'è un attacco di forza bruta, come funziona, se è legale e come regge agli attuali sistemi di sicurezza.

Come funziona un attacco di forza bruta?

Gli attacchi di forza bruta sono semplici nel loro aspetto tecnico e spesso producono grandi risultati per i malintenzionati. In sostanza, vengono usati gli attacchi di forza bruta per accedere agli account online.

Gli hacker prediligono questo tipo di attacco perché richiede poco sforzo da parte loro, lasciando che i computer facciano tutto il lavoro. Il lavoro consiste nell'indovinare rapidamente il nome utente e la password dell'account a cui si sta tentando di accedere in modo non autorizzato. Durante un attacco di forza bruta, un software funziona in modo malvagio, provando infinite combinazioni di nomi utente e password fino a quando non trova quella giusta.

Quanto è veloce un attacco di forza bruta?

La velocità con cui la password viene violata dipende da:

  • La complessità della tua password.

  • La potenza del computer del malintenzionato.

Ecco una guida rapida a entrambi

Velocità a seconda della complessità della password:

  • I programmi informatici utilizzati per gli attacchi di forza bruta possono controllare da 10.000 a 1 miliardo di password al secondo.

  • Ci sono 94 tra numeri, lettere e simboli su una tastiera standard. In totale, possono generare circa duecento miliardi di password di 8 caratteri.

  • Più lunga e casuale è una password, più difficile è decifrarla. Una password di 9 caratteri che include un carattere univoco richiede circa 2 ore per essere violata; una senza carattere univoco dura solo 2 minuti!

  • D'altro canto, una password di 12 caratteri misti richiederebbe secoli per essere decifrata.

La morale

Una semplice password composta solo da lettere minuscole produce molte meno combinazioni di una password che utilizza un mix di caratteri casuali - circa 300 milioni, per l'esattezza. Pertanto, i computer non hanno bisogno di molto sforzo per indovinare una semplice password: 8,5 ore su un Pentium 100 e istantaneamente su un supercomputer.

(Un Pentium 100 può provare 10.000 password al secondo. Un supercomputer ne può provare 1.000.000.000 al secondo). Quindi è meglio ripensare la tua password.

Tipi di attacchi di forza bruta

Gli attacchi di forza bruta sono disponibili in una varietà di tipi e forme. Ecco alcuni dei tipi più comuni che gli hacker utilizzano per ottenere l'accesso non autorizzato agli account online.

Semplice attacco di forza bruta

Il semplice attacco di forza bruta, come suggerisce il nome, è il più basilare di tutti i tipi. Durante un tale attacco, il malintenzionato cerca di indovinare manualmente la password dell'utente, senza l'impiego di strumenti software. L'utente malintenzionato basa la sua tattica sul provare password deboli di uso comune come 123456, qwerty, password e password123. Sfortunatamente, anche il semplice attacco di forza bruta può essere piuttosto efficace, poiché abbiamo ripetutamente visto che molte persone continuano a utilizzare password deboli o scadenti per proteggere i propri account online.

attacco a dizionario

Anche se un attacco a dizionario non soddisfa rigorosamente i criteri per qualificarsi come un attacco di forza bruta, i due sono strettamente correlati. In poche parole, un attacco a dizionario è un metodo per cercare di decifrare la password provando un vasto numero di parole comuni e le loro varianti. Per fare ciò, gli hacker utilizzano software in grado di formulare migliaia di ipotesi ogni secondo utilizzando database di dizionari, da cui il nome dell'attacco. Nel corso degli anni, gli attacchi a dizionario sono diminuiti di popolarità man mano che sono saliti alla ribalta nuovi tipi di attacchi.

Attacco di forza bruta ibrido

Come suggerisce il nome, un attacco ibrido di forza bruta combina un attacco a dizionario con un attacco di forza bruta per avere maggiori possibilità di successo. Spesso l'attacco ibrido viene utilizzato quando il malintenzionato conosce già il nome utente della sua preda.

Un attacco ibrido è progettato per provare una varietà di combinazioni di password non comuni come MonkeyBig123. Nella maggior parte dei casi, l'utente malintenzionato inizia con un elenco di parole e poi tenta di cambiare carattere e aggiungere simboli o numeri speciali per ottenere il maggior numero possibile di variazioni sulle parole iniziali.

Attacco di forza bruta inverso

Pensa a un attacco di forza bruta inverso come a un qualcosa di totalmente opposto a un attacco ibrido. Un attacco di forza bruta inverso richiede che l'utente malintenzionato conosca in anticipo la password e quindi tenti di indovinare il nome utente.

Gli aggressori in possesso di una password – che molto probabilmente ottengono da database violati – la usano per rintracciare i nomi utente ad essa associati.

Credential stuffing

Il credential stuffing è il tipo di attacco che i malintenzionati eseguono quando hanno una serie di nomi utente e password già a loro disposizione. Gli hacker possono ottenere interi database di credenziali di accesso rubate e quindi provare ad applicarle all'account a cui stanno tentando di accedere. Questo tipo di attacco può essere particolarmente devastante se l'utente attaccato riutilizza le stesse password su più account.

Attacco tabella arcobaleno (Rainbow Table)

Un attacco tabella arcobaleno è un metodo di cracking delle password che utilizza tabelle arcobaleno per rompere gli hash delle password in un database. I siti Web o le app non memorizzano le password come testo normale; al contrario, crittografano le password con hash. Una volta utilizzata la password per l'accesso, viene immediatamente convertita in un hash. La volta dopo che l'utente accede utilizzando le proprie password, il server verifica se la password corrisponde all'hash creato in precedenza. Se i due hash corrispondono, l'utente viene quindi autenticato. Le tabelle utilizzate per memorizzare gli hash delle password sono note come tabelle arcobaleno.

Nella maggior parte dei casi, l'hacker che lancia un attacco tabella arcobaleno dovrebbe avere a disposizione appunto la tabella arcobaleno. Spesso possono essere acquistate sul dark web oppure rubate. Durante l'attacco, i malintenzionati usano la tabella per decrittografare gli hash delle password e quindi ottenere l'accesso a una password come testo non crittografato.

Quali sono i motivi dietro gli attacchi di forza bruta?

Gli attacchi di forza bruta sono di solito la prima ondata dell'offensiva. Nella maggior parte dei casi, gli attacchi di forza bruta servono agli aggressori per ottenere un punto di ingresso non autorizzato a una rete. Una volta ottenuto l'accesso desiderato, gli hacker implementeranno ulteriori attacchi di forza bruta per aggiornare i privilegi all'interno della rete in modo da poter fare più danni o ottenere l'accesso a server e database.

Un attacco di forza bruta è legale?

L'unico caso in cui un attacco di forza bruta può considerarsi legale è se si sta testando eticamente la sicurezza di un sistema con il consenso scritto del proprietario.

Nella maggior parte dei casi, un attacco di forza bruta viene utilizzato per rubare le credenziali dell'utente, dando accesso non autorizzato a conti bancari, abbonamenti, file sensibili e così via. Tutto questo lo rende ovviamente illegale.

Come prevenire un attacco di forza bruta

Le aziende e gli individui possono proteggersi dagli attacchi di forza bruta in vari modi. Il punto cruciale di un attacco di forza bruta è il tempo. Alcuni attacchi possono richiedere settimane o addirittura mesi per avere successo. Pertanto, la maggior parte delle strategie utilizzate per difendersi da un attacco di forza bruta comportano il tempo crescente necessario per eseguire un attacco di successo.

Utilizza password complesse e univoche

Le password complesse sono lunghe e incorporano una varietà di simboli speciali, numeri e lettere minuscole e maiuscole. Una password forte e univoca utilizzata per proteggere un punto di ingresso può richiedere centinaia di anni per essere decifrata. Pertanto, l'utilizzo di una password che comprende almeno 12 caratteri è sempre raccomandata, con un sano mix di numeri e simboli speciali.

Inoltre, ricorda di non riutilizzare mai le stesse password su più account. In questo modo aumentano le possibilità di hackerare i tuoi account. Pensa a riutilizzare lo stesso metodo per creare le password, senza però utilizzare una singola chiave per bloccare tutte le porte. Se i malintenzionati riuscissero a mettere le mani sulla password che usi per proteggere più account, avranno immediatamente accesso a tutti i tuoi account.

Uno dei modi migliori per trovare con password forti e uniche è quello di utilizzare un Generatore di password, che è stato progettato per creare password complesse e difficili da rompere su richiesta.

Configura la MFA (autenticazione a più fattori) quando possibile

L'autenticazione a più fattori è un ulteriore livello di sicurezza che richiede passaggi aggiuntivi per verificare l'identità dell'utente. Oggi, la maggior parte dei servizi online fornisce agli utenti un modo per configurare la MFA. Nella maggior parte dei casi, la MFA funziona tramite app di autenticazione o messaggi di testo. Con l'MFA abilitata sui tuoi account, anche se riescono a ottenere il tuo nome utente e password, gli aggressori non avranno modo di bypassare un ulteriore passaggio di autenticazione senza accesso diretto ai tuoi dispositivi.

Evita di utilizzare servizi che non proteggono i tuoi dati con una crittografia

La crittografia è lo standard del settore quando si tratta di protezione dei dati. Qualsiasi fornitore di servizi online che si rispetti, garantirà che i dati dell'utente, inclusi nomi utente e password, siano crittografati.

Tuttavia, sentiamo spesso parlare di come alcune piattaforme online prendano la via d'uscita più semplice, dimenticando di impiegare misure di sicurezza adeguate e memorizzando password e altri dati preziosi come testo normale. Simili pratiche di sicurezza sono la ricetta per il disastro.

Quindi, prima di iscriverti a qualsiasi nuovo servizio online, assicurati che il provider utilizzi la crittografia e altre misure di sicurezza informatica per garantire la sicurezza dei dati dei propri clienti.

crittografia XChaCha20

In poche parole, la crittografia è un metodo per rimescolare i dati in modo che solo le parti autorizzate possano comprenderne le informazioni. Gli algoritmi di crittografia prendono dati leggibili come password e nomi utente e li alterano in modo che appaiano casuali. Il vantaggio è che i dati crittografati, anche se rubati, sono inutili per eventuali malintenzionati a meno che non abbiano una chiave crittografica, che però non è così facili da reperire.

NordPass utilizza la tecnologia all'avanguardia XChaCha20, che la rende uno dei più sicuri gestori di password. XChaCha20 supporta anche la chiave a 256 bit, che è la crittografia più affidabile attualmente disponibile. Sostenuto da Google e Cloudflare, questo livello di crittografia è così avanzato che ci vorrebbero secoli per decifrarlo.

Sistema di sicurezza profondo

La crittografia rappresenta solo una parte di una strategia di sicurezza, quindi è fondamentale capire come vengono abbinati insieme tutti gli ingredienti. Quando un formidabile algoritmo come XChaCha20 si trova all'interno di un sistema ad alta difesa come NordPass, un malintenzionato non ha alcuna possibilità di successo.

In realtà, questo è esattamente ciò che distingue NordPass dai prodotti che offrono funzionalità familiari a livello superficiale. È un sistema di difesa profondamente complesso costruito dall'interno verso l'esterno.

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.