Cos'è un attacco di forza bruta?
Un attacco di forza bruta usa l'approccio della prova e dell'errore per indovinare informazioni di accesso e chiavi di criptaggio o per trovare una pagina Web nascosta. Gli hacker provano tutte le combinazioni possibili sperando di indovinare quella giusta.
Questi attacchi vengono sferrati con "forza bruta", vale a dire che tentano in tutti i modi di entrare a "forza" nei tuoi account privati.
Si tratta di un vecchio metodo di attacco, ma è ancora efficace e molto usato dagli hacker. Infatti, a seconda della lunghezza e complessità della password, la sua individuazione può richiedere da pochi secondi a molti anni.
Che cosa ottengono gli hacker dagli attacchi di forza bruta?
Gli autori di attacchi di forza bruta devono impegnarsi a fondo per far fruttare questi schemi. Anche se la tecnologia rende tutto più facile, ci si può chiedere: perché qualcuno dovrebbe farlo?
Ecco quali vantaggi ottengono gli hacker dagli attacchi di forza bruta:
- Profitti dagli annunci o raccolta di dati sulle attività
- Furto di dati personali e oggetti preziosi
- Diffusione di malware per causare interruzioni
- Hijack del sistema per attività dannosa
- Danno alla reputazione di un sito Web
Profitti dagli annunci o raccolta di dati sulle attività.
Gli hacker possono sfruttare un sito Web insieme ad altri per guadagnare commissioni sugli annunci. I modi più diffusi per farlo sono:
- Inserire spam pubblicitari in un sito molto visitato per guadagnare denaro ogni volta che un utente fa clic su un annuncio o lo visualizza.
- Reindirizzare il traffico di un sito Web verso siti di annunci commissionati.
- Infettare un sito o i visitatori con malware in grado di tracciare le attività, in genere spyware. I dati vengono venduti agli inserzionisti senza il tuo consenso per migliorare la loro attività di marketing.
Furto di dati personali e oggetti preziosi.
Violare gli account online equivale a forzare la cassaforte di una banca: tutto è disponibile online, dai conti bancari alle informazioni fiscali. Un criminale deve solo trovare il modo giusto di entrare per rubare la tua identità, il tuo denaro o vendere le tue credenziali private a scopo di lucro. A volte, i database sensibili di intere organizzazioni possono essere esposti in violazioni di dati a livello aziendale.
Diffusione di malware per causare interruzioni per il gusto di farlo.
Se un hacker vuole causare problemi o mettere alla prova le sue competenze, può reindirizzare il traffico di un sito Web verso siti dannosi. Può anche infettare direttamente un sito con malware nascosto da installare nei computer dei visitatori.
Hijack del sistema per attività dannosa.
Quando un computer non è abbastanza, gli hacker ricorrono a un esercito di dispositivi di utenti ignari, detto botnet, per far fruttare più velocemente i loro sforzi. Il malware è in grado di infiltrarsi nel tuo computer, dispositivo mobile o account online per mettere in atto spam phishing, attacchi di forza bruta avanzati e altro ancora. Se non hai un sistema anti-virus, potresti essere maggiormente a rischio di infezione.
Danno alla reputazione di un sito Web.
Se gestisci un sito Web e diventi bersaglio di vandalismo, un cybercriminale potrebbe decidere di inondarti di contenuti osceni, tra cui testo, immagini e audio di natura violenta, pornografica o razzista.
Tipi di attacchi di forza bruta
Ogni attacco di forza bruta può usare metodi diversi per trovare i tuoi dati sensibili. I tuoi dispositivi potrebbero essere esposti a uno qualsiasi dei seguenti metodi di forza bruta:
- Attacchi di forza bruta semplici
- Attacchi dizionario
- Attacchi di forza bruta ibridi
- Attacchi di forza bruta inversi
- Stuffing di credenziali
Attacchi di forza bruta semplici: gli hacker tentano di usare la logica per indovinare le tue credenziali, senza nessuno strumento software o di altro tipo. Sono in grado di individuare password e PIN molto semplici. Ad esempio, una password come "ospite12345".
Attacchi dizionario: in un attacco standard, un hacker sceglie un bersaglio e prova molte password su quel nome utente. Questi sono chiamati attacchi dizionario. Gli attacchi dizionario sono lo strumento di base negli attacchi di forza bruta. Anche se di per sé non sono necessariamente attacchi di forza bruta, spesso sono un componente importante per la violazione delle password. Alcuni hacker consultano dizionari integrali e aggiungono alle parole caratteri speciali e numeri oppure usano dizionari di parole speciali, ma questo tipo di attacco sequenziale è molto laborioso.
Attacchi di forza bruta ibridi: questi hacker mescolano mezzi esterni con le loro congetture logiche per tentare un'intrusione. Un attacco ibrido di solito combina attacchi dizionario e di forza bruta. Questi attacchi vengono utilizzati per trovare password combinate, contenenti parole comuni e caratteri casuali. Un esempio di attacco di forza bruta di questo tipo include password come NewYork1993 o Spike1234.
Attacchi di forza bruta inversi: come indica il nome, un attacco di questo tipo inverte la strategia di attacco iniziando da una password nota. Poi gli hacker cercano milioni di nomi utente fino a trovare una corrispondenza. Molti di questi criminali iniziano da password rubate disponibili online in seguito a violazioni dei dati già portate a termine.
Stuffing di credenziali: se un hacker è a conoscenza di una combinazione di nome utente-password che funziona per un sito Web, proverà a usarla anche in moltissimi altri. Poiché è risaputo che gli utenti riutilizzano le informazioni di accesso in più siti Web, diventano bersagli esclusivi di attacchi di questo tipo.
Strumenti utili per gli attacchi di forza bruta
Indovinare una password di un utente o un sito può richiedere molto tempo, così gli hacker hanno sviluppato strumenti per eseguire il processo in modo più veloce.
Gli strumenti automatizzati agevolano gli attacchi di forza bruta. Utilizzano il guessing a raffica, pensato proprio per creare ogni password possibile e provare a usarla. I software hacking di forza bruta sono in grado di individuare una password costituita da una parola presente in un dizionario entro un secondo.
Gli strumenti di questo tipo sono programmati con soluzioni alternative per:
- Colpire molti protocolli di computer (come FTP, MySQL, SMPT e Telnet)
- Consentire agli hacker di violare i modem wireless.
- Identificare le password deboli
- Decriptare le password in un archivio dati criptato.
- Tradurre le parole in linguaggio leet, ad esempio "don'thackme" diventa "d0n7H4cKm3".
- Eseguire tutte le combinazioni possibili di caratteri.
- Sferrare attacchi dizionario.
Alcuni strumenti eseguono la scansione di tabelle Rainbow pre-calcolate per analizzare gli input e gli output di funzioni hash note. Queste “funzioni hash” sono il metodo di criptaggio basato su algoritmo utilizzato per tradurre le password in serie estese a lunghezza fissa di lettere e numeri. In altre parole, le tabelle Rainbow eliminano la parte più difficile degli attacchi di forza bruta velocizzando il processo.
La GPU accelera gli attacchi di forza bruta
Per eseguire il software di forza bruta delle password, è necessaria una potenza di calcolo enorme. Sfortunatamente, gli hacker hanno sviluppato soluzioni hardware che rendono questa parte del lavoro molto più semplice.
La combinazione di CPU e dell'unità di elaborazione grafica (GPU) accelera il calcolo. L'aggiunta delle migliaia di core della GPU alla potenza di elaborazione consente al sistema di gestire più attività simultaneamente. La GPU si usa per elaborare attività di analisi, progettazione e altre applicazioni che richiedono elaborazione intensiva. Gli hacker che usano questo metodo possono decifrare le password con una velocità circa 250 volte più alta rispetto alla sola CPU.
Quanto tempo serve quindi per violare una password? Ad esempio, una password di sei caratteri che include numeri può avere circa 2 miliardi di combinazioni possibili. Per decifrarla con una CPU potente, che tenta 30 password al secondo, sono necessari più di due anni. Se si aggiunge un'unica potente scheda GPU, lo stesso computer può provare 7.100 password al secondo e il tempo per individuare la password si riduce a 3 giorni e mezzo.
Procedura di protezione delle password per professionisti
Per proteggere te e la rete, è bene prendere precauzioni e aiutare gli altri a fare lo stesso. Sarà necessario consolidare il comportamento degli utenti e i sistemi di sicurezza della rete.
Sia per il personale IT che per gli altri utenti, è bene tenere a mente alcuni consigli generali:
- Utilizza un nome utente e una password complessi. Per proteggerti da questi attacchi, crea credenziali più complesse di admin e password1234. Quanto più è complessa la combinazione, tanto più difficile sarà per chiunque violarla.
- Elimina gli account inutilizzati con autorizzazioni generali. Sono l'equivalente informatico delle porte con serrature deboli e facili da forzare. Gli account non gestiti sono una vulnerabilità che non ti puoi permettere. Sbarazzatene il prima possibile.
Una volta acquisite le nozioni di base, dovrai rafforzare la sicurezza e coinvolgere gli utenti.
Per iniziare, vediamo cosa puoi fare nel back-end, poi ti suggeriremo alcune abitudini da adottare per la sicurezza.
Protezioni passive del back-end per le password
Livelli di criptaggio elevati: per rendere più difficile la riuscita degli attacchi di forza bruta, gli amministratori di sistema devono garantire che le password dei loro sistemi siano criptate con i maggiori livelli di criptaggio possibili, come il criptaggio a 256 bit. Maggiore è il numero di bit nello schema di crittografia, più è difficile individuare la password.
Hash salting: gli amministratori devono anche rendere casuali gli hash delle password aggiungendo una stringa casuale di lettere e numeri (chiamata salt) alla password stessa. Questa stringa deve essere memorizzata in un database separato e recuperata e aggiunta alla password prima che ne sia eseguito l'hashing. Grazie all'hash salting, utenti con la stessa password hanno hash diversi.
Autenticazione a due fattori (2FA): inoltre, gli amministratori possono richiedere l'autenticazione in due fasi e installare un sistema di rilevamento delle intrusioni che individua gli attacchi di forza bruta. Gli utenti devono quindi far seguire al tentativo di accesso un secondo fattore, ad esempio una chiave USB fisica o una scansione biometrica delle impronte digitali.
Numero limitato di tentativi di accesso: limitare il numero di tentativi di accesso riduce anche il rischio di subire attacchi di forza bruta. Ad esempio, se si consentono tre tentativi di immissione della password prima di bloccare l'utente per diversi minuti è possibile causare ritardi significativi e indurre gli hacker a passare a bersagli più facili.
Blocco degli account dopo un numero eccessivo di tentativi di accesso: se un hacker può provare all'infinito a immettere password anche dopo un blocco temporaneo può tornare a provarci. Bloccare l'account e richiedere all'utente di contattare l'IT per lo sblocco scoraggerà questo comportamento. I tempi di blocco brevi sono più comodi per gli utenti, ma la comodità può tradursi in vulnerabilità. Per trovare un equilibrio, puoi valutare l'opportunità di utilizzare il blocco a lungo termine se dopo quello breve si verificano troppi accessi falliti.
Tasso di accessi ripetuti limitato: per rallentare ulteriormente un cybercriminale, puoi impostare un intervallo tra ogni singolo tentativo di accesso. Dopo un accesso non riuscito, un timer può concedere un altro tentativo solo dopo che è trascorso un breve intervallo di tempo. In questo modo, il team di monitoraggio in tempo reale avrà il tempo sufficiente per individuare e bloccare la minaccia. Alcuni hacker potrebbero smettere di provare se l'attesa non vale la pena.
Captcha obbligatoria dopo ripetuti tentativi di accesso: la verifica manuale impedisce ai robot di violare i tuoi dati con attacchi di forza bruta. La captcha può essere di diversi tipi, ad esempio può venire chiesto di digitare il testo contenuto in un'immagine, selezionare una casella di controllo o identificare oggetti presenti in fotografie. Indipendentemente dal tipo, puoi usarla prima del primo accesso o dopo ogni tentativo non riuscito come ulteriore protezione.
Utilizza un elenco di IP non consentiti per bloccare i cybercriminali noti. Assicurati che questo elenco venga costantemente aggiornato da chi lo gestisce.
Protezioni di supporto IT attive per le password
Formazione per le password: Il comportamento degli utenti è essenziale per la sicurezza delle password. Fornisci agli utenti la formazione necessaria sulle procedure e sugli strumenti di sicurezza per aiutarli a tenere traccia delle password. Servizi come Kaspersky Password Manager consentono agli utenti di salvare le password complesse e difficili da memorizzare in un contenitore, invece di scriverle su foglietti adesivi senza preoccuparsi della sicurezza. Dal momento che gli utenti tendono a sacrificare la sicurezza per la comodità, metti a loro disposizione strumenti pratici che favoriscano la sicurezza.
Verifica in tempo reale la presenza di attività sospette negli account: posizioni di accesso strane, troppi tentativi di accesso e così via. Cerca di individuare eventuali tendenze nelle attività sospette e prendi le misure necessarie per bloccare i potenziali autori di attacchi in tempo reale. Fai attenzione ai blocchi di indirizzi IP e ai blocchi degli account e contatta gli utenti per stabilire se l'attività degli account sia legittima (se appare sospetta).
In che modo gli utenti possono rendere le password più sicure contro gli attacchi di forza bruta
Gli utenti possono fare molto per proteggersi nel mondo digitale. La miglior difesa contro gli attacchi alle password è scegliere password il più complesse possibile.
Gli attacchi di forza bruta richiedono tempo per violare la password. Il tuo obiettivo è dunque quello di fare in modo che la password rallenti il più possibile gli attacchi perché, se la violazione richiede troppo tempo, la maggior parte degli hacker finisce con il rinunciare e passare ad altro.
Ecco alcuni suggerimenti per aumentare la protezione delle password contro gli attacchi di forza bruta:
Password più lunghe con tipi di caratteri variati. Quando possibile, gli utenti devono scegliere password di 10 caratteri che includono simboli o numeri. In questo modo ci sono 171,3 quintilioni (1,71 x 1020) di possibilità. Usando un processore GPU che prova 10,3 miliardi di hash al secondo, la violazione della password richiede circa 526 anni. Però un supercomputer potrebbe individuarla in poche settimane. Di conseguenza, includere più caratteri rende le password ancora più difficili da violare.
Passphrase elaborate. Non tutti i siti accettano password così lunghe, perciò devi scegliere passphrase complesse anziché singole parole. Gli attacchi dizionario sono pensati specificamente per frasi di una sola parola e rendono più semplice la violazione. Le passphrase, ovvero le password composte da più parole o segmenti, dovrebbero includere molti caratteri extra e tipi di caratteri speciali.
Stabilisci regole per la creazione delle password. Le password migliori sono quelle che puoi ricordare facilmente, ma che non hanno senso per chiunque altro le legga. Quando decidi di creare una passphrase, potresti utilizzare parole troncate, ad esempio sostituire “bosco” con “bc” per creare una stringa che abbia senso solo per te. Oppure potresti eliminare le vocali o utilizzare solo le prime due lettere di ogni parola.
Evita le password utilizzate più di frequente. È importante evitare l'uso di password comuni e cambiarle spesso.
Utilizza password univoche per ogni sito. Per non essere vittima dello stuffing di credenziali, è bene non riutilizzare mai una password. Per una sicurezza ancora maggiore, utilizza anche un nome utente diverso per ogni sito. In questo modo eviterai che altri account vengano compromessi se uno dei tuoi viene violato.
Usate un password manager. Installando un gestore di password, puoi automatizzare la creazione e il tracciamento delle informazioni di accesso online. Per accedere a tutti i tuoi account, ti basterà effettuare prima l'accesso al gestore di password. Puoi quindi creare password complesse estremamente lunghe per tutti i siti che visiti e archiviarle in modo sicuro, limitandoti a ricordare solo la password principale.
Se ti stai chiedendo quanto tempo servirebbe per violare la tua password, puoi verificare la complessità della passphrase all'indirizzo .
Kaspersky Internet Security ha ricevuto due premi AV-TEST per le migliori prestazioni e la migliore protezione per un prodotto di sicurezza Internet nel 2021. In tutti i test Kaspersky Internet Security ha dimostrato prestazioni e un livello di protezione eccezionali contro le minacce informatiche.
Articoli correlati:
