Impara il gergo della sicurezza delle password: attacco a dizionario

Noi, in qualità di utenti, ci fidiamo di aziende e fornitori di servizi per mantenere i nostri dati al sicuro. Speriamo che non lascino backdoor nel loro software, che formino adeguatamente i loro dipendenti e che non memorizzino nomi utente e password.

Ma non tutto è così semplice come potrebbe sembrare. Gli attacchi alla sicurezza informatica possono colpire chiunque e talvolta può essere difficile proteggere te stesso o la tua azienda. Ma alcuni di essi, come gli attacchi a dizionario, possono essere facilmente prevenuti.

Scopri cos'è un attacco a dizionario e cosa puoi fare per impedire che accada.

Che cos'è un attacco a dizionario?

Un attacco a dizionario è un metodo sistematico per indovinare una password provando molte parole comuni e le loro semplici varianti. Chi compie l'attacco utilizza ampie liste delle password più comunemente utilizzate , nomi di animali domestici popolari, personaggi immaginari, o letteralmente solo parole estratte da un dizionario. Da qui deriva il nome dell'attacco. Cambiano anche alcune lettere in numeri o caratteri speciali, come “p@ssw0rd”.

Gli hacker usano questo attacco per ottenere l'accesso agli account online, ma anche per la decrittografia dei file. E questo è un problema ancora più grande. La maggior parte delle persone si impegna almeno un po' per proteggere i loro account di email o social media. Tuttavia, scelgono parole semplici, facili da ricordare di tutti i giorni per proteggere i file che condividono con altre persone. Se inviati tramite una connessione non sicura, quei file sarebbero molto facili da intercettare, e indovinarne la password utilizzando un attacco a dizionario non sarebbe difficile.

Come funziona un attacco a dizionario?

Durante un attacco a dizionario, un programma inserisce sistematicamente parole da un elenco come password per accedere a un sistema, un account o un file crittografato. Un attacco a dizionario può essere eseguito sia online che offline.

In un attacco online, l'utente malintenzionato tenta ripetutamente di accedere o ottenere l'accesso come qualsiasi altro utente. Questo tipo di attacco funziona meglio se l'hacker ha un elenco di password probabili. Se l'attacco richiede troppo tempo, potrebbe essere notato da un amministratore di sistema o dall'utente originale.

Durante un attacco offline, tuttavia, non ci sono limitazioni di rete a quante volte è possibile indovinare la password. Per farlo, gli hacker devono mettere le mani sul file di archiviazione delle password dal sistema a cui vogliono accedere, quindi è più complicato di un attacco online. Ma una volta che hanno la password corretta, saranno in grado di accedere senza che nessuno se ne accorga.

Qual è la differenza tra un attacco di forza bruta e un attacco a dizionario?

Attacchi di forza bruta sono anch'essi utilizzati per indovinare le password. Si basano principalmente sulla potenza di calcolo del computer del malintenzionato. Durante un attacco di forza bruta, un programma inserisce automaticamente anche combinazioni di lettere, simboli e numeri, ma in questo caso sono del tutto casuali. Anche gli attacchi di forza bruta possono essere eseguiti online e offline.

Tuttavia, ci sono circa 2 milioni di parole nella lingua italiana. Utilizzando l'alfabeto e i numeri da 0 a 9, è possibile creare 218.340.105.584.896 password di otto caratteri. In questo caso, un attacco a dizionario ha molte più probabilità di successo, dato che la password sarà una semplice parola italiana. E molto probabilmente sarà una parola semplice. Un attacco di forza bruta di base richiederebbe molto più tempo ed è meno probabile che abbia successo.

Gli attacchi a dizionario sono fondamentalmente attacchi di forza bruta. L'unica differenza è che gli attacchi a dizionario sono più efficienti: di solito non hanno bisogno di provare tante combinazioni per avere successo. Tuttavia, se la password è davvero unica, un attacco a dizionario non funzionerà. In tal caso, l'uso della forza bruta è l'unica opzione.

Come evitare un attacco a dizionario delle password?

Il reparto IT di qualsiasi organizzazione dovrebbe prendere alcune precauzioni per proteggere i propri sistemi dagli attacchi a dizionario. Gli attacchi online sono piuttosto facili da fermare. È possibile utilizzare i captcha, implementare l'autenticazione a due fattori obbligatoria e limitare il numero di volte in cui un utente può tentare di accedere prima che il proprio account venga bloccato.

Quando si tratta di attacchi offline però, è leggermente più complicato. Puoi comunque utilizzare l'autenticazione a due fattori e impostare regole rigorose in materia di password: nessuna password popolare, nessuna parola o frase comune, minimo 12 caratteri, ecc. E, soprattutto, assicurati di non archiviare le password in testo normale.

Ma cosa puoi fare come utente per impedire che i tuoi account vengano violati? Prima di tutto, non essere prevedibile. Le migliori password sono parole che non hanno alcun significato per il grande pubblico. Tieni presente che la lunghezza della password non è ciò che la rende forte. Non importa se si sceglie “pachycephalosaurus” o “gatto” come password; un computer impiega la stessa quantità di tempo per provarle entrambe.

Quindi crea parole nuove, usa caratteri speciali originali o, meglio ancora, usa stringhe casuali di lettere maiuscole e minuscole, simboli e numeri.

Hai problemi a trovare nuove password? Prova il nostro generatore di password. Puoi scegliere quali simboli vuoi usare e creare password uniche e complesse per tutti i tuoi account. Ok, sono impossibili da ricordare, ma sono anche impossibili da indovinare. E fortunatamente per te, non hai più bisogno di ricordare tutte le tue password.

Basta utilizzare un gestore di password , come NordPass per conservare in modo sicuro tutte le tue password. Solo tu avrai accesso, quindi puoi essere certo che i tuoi account online sono al sicuro.