Noi, in qualità di utenti, ci fidiamo di aziende e fornitori di servizi per mantenere i nostri dati al sicuro. Speriamo che non lascino backdoor nel loro software, che formino adeguatamente i loro dipendenti e che non memorizzino nomi utente e password.
Ma non tutto è così semplice come potrebbe sembrare. Gli attacchi alla sicurezza informatica possono colpire chiunque e talvolta può essere difficile proteggere te stesso o la tua azienda. Ma alcuni di essi, come gli attacchi a dizionario, possono essere facilmente prevenuti.
Scopri cos'è un attacco a dizionario e cosa puoi fare per impedire che accada.
Che cos'è un attacco a dizionario?
Un attacco a dizionario è un metodo sistematico per indovinare una password provando molte parole comuni e le loro semplici varianti. Gli aggressori usano elenchi estesi di password più comunemente utilizzate, nomi di animali domestici popolari, personaggi immaginari o letteralmente solo parole di un dizionario, da cui deriva il nome dell'attacco. Provano inoltre a cambiare alcune lettere in numeri o caratteri speciali, come “p@ssw0rd”.
Gli hacker usano questo attacco per ottenere l'accesso agli account online, ma anche per la decrittografia dei file - e questo è un problema ancora più grande. Nonostante la maggior parte delle persone metta almeno un po' di impegno per proteggere i propri account di posta elettronica o social media, scelgono spesso parole comuni e facili da ricordare per proteggere i file che condividono con altre persone. Se inviati tramite una connessione non sicura, quei file sarebbero molto facili da intercettare, e indovinarne la password utilizzando un attacco a dizionario non sarebbe difficile.
Come funziona un attacco a dizionario?
Durante un attacco a dizionario, un programma inserisce sistematicamente parole da un elenco come password per accedere a un sistema, un account o un file crittografato. Un attacco a dizionario può essere eseguito sia online che offline.
In un attacco online, l'utente malintenzionato tenta ripetutamente di accedere o ottenere l'accesso come qualsiasi altro utente. Questo tipo di attacco funziona meglio se l'hacker ha un elenco di password probabili. Se l'attacco richiede troppo tempo, potrebbe essere notato da un amministratore di sistema o dall'utente originale.
Durante un attacco offline, tuttavia, non ci sono limitazioni di rete a quante volte è possibile indovinare la password. Per farlo, gli hacker devono mettere le mani sul file di archiviazione delle password dal sistema a cui vogliono accedere, quindi è più complicato di un attacco online. Ma una volta che hanno la password corretta, saranno in grado di accedere senza che nessuno se ne accorga.
Qual è la differenza tra un attacco di forza bruta e un attacco a dizionario?
Anche gli Attacchi di forza bruta sono usati per indovinare le password. Si basano principalmente sulla potenza di calcolo del computer del malintenzionato. Anche durante un attacco di forza bruta, un programma inserisce automaticamente combinazioni di lettere, simboli e numeri, ma in questo caso sono del tutto casuali. Anche gli attacchi di forza bruta possono essere eseguiti online e offline.
Tuttavia, ci sono circa 2 milioni di parole nella lingua italiana. Utilizzando l'alfabeto e i numeri da 0 a 9, è possibile creare 218.340.105.584.896 password di otto caratteri. In questo caso, un attacco a dizionario ha molte più probabilità di successo, dato che la password sarà una semplice parola italiana. Un attacco di forza bruta di base richiederebbe molto più tempo ed è meno probabile che abbia successo.
Gli attacchi a dizionario sono attacchi di forza bruta in natura. L'unica differenza è che gli attacchi a dizionario sono più efficienti: di solito non hanno bisogno di provare tante combinazioni per avere successo. Tuttavia, se la password è davvero unica, un attacco a dizionario non funzionerà. In tal caso, l'uso della forza bruta è l'unica opzione.
Come evitare un attacco a dizionario delle password?
Il reparto IT di qualsiasi organizzazione dovrebbe prendere alcune precauzioni per proteggere i propri sistemi dagli attacchi a dizionario. Gli attacchi online sono piuttosto facili da fermare. È possibile utilizzare i captcha, implementare l'autenticazione a due fattori obbligatoria e limitare il numero di volte in cui un utente può tentare di accedere prima che il proprio account venga bloccato.
Quando si tratta di attacchi offline però, è leggermente più complicato. Puoi comunque utilizzare l'autenticazione a due fattori e impostare regole rigorose in materia di password: nessuna password popolare, nessuna parola o frase comune, minimo 12 caratteri, ecc. E, soprattutto, assicurati di non archiviare le password in testo normale.
Ma cosa puoi fare come utente per impedire che i tuoi account vengano violati? Prima di tutto, non essere prevedibile. Le migliori password sono parole che non hanno alcun significato per il grande pubblico. Tieni presente che la lunghezza della password non è ciò che la rende forte. Non importa se scegli “pachycephalosaurus” o "gatto" come password; un computer impiega la stessa quantità di tempo per provare una delle due.
Quindi crea parole nuove, usa caratteri speciali originali o, meglio ancora, usa stringhe casuali di lettere maiuscole e minuscole, simboli e numeri.
Hai problemi a trovare nuove password? Prova il nostro generatore di password. Puoi scegliere quali simboli vuoi usare e creare password uniche e complesse per tutti i tuoi account. Ok, sono impossibili da ricordare, ma sono anche impossibili da indovinare. E fortunatamente per te, non hai più bisogno di ricordare tutte le tue password.
Basta usare un gestore di password, come NordPass, per memorizzare tutte le tue password in modo sicuro. Solo tu avrai accesso, quindi puoi essere certo che i tuoi account online sono al sicuro.