Cos'è un attacco di forza bruta?

Un attacco di forza bruta è un tentativo di decifrare una password o un nome utente oppure di trovare una pagina web nascosta o la chiave utilizzata per crittografare un messaggio utilizzando l'approccio della prova e dell'errore con la speranza, alla fine, di indovinare. Si tratta di un vecchio metodo di attacco, ma è ancora efficace e molto usato dagli hacker.

A seconda della lunghezza e complessità della password, la sua individuazione può richiedere da pochi secondi a molti anni. Infatti che alcuni hacker lavorano sugli stessi sistemi ogni giorno per mesi e talvolta per anni.

Strumenti utili per gli attacchi di forza bruta

Indovinare una password di un utente o un sito può richiedere molto tempo, così gli hacker hanno sviluppato strumenti per eseguire il processo in modo più veloce.

I dizionari sono lo strumento principale. Alcuni hacker consultano dizionari integrali e aggiungono alle parole caratteri speciali e numeri oppure usano dizionari di parole speciali, ma questo tipo di attacco sequenziale è molto laborioso.

In un attacco standard, un hacker sceglie un bersaglio e prova molte password su quel nome utente. Questi sono chiamati attacchi dizionario.

Come implica il nome, un attacco di forza bruta inverso inverte la strategia di attacco iniziando con una password nota, come le password rubate disponibili online, e cercando milioni di nomi utente fino a trovare una corrispondenza.

Sono anche disponibili strumenti automatizzati utili per gli attacchi di forza bruta, ad esempio Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng e Rainbow. Molti sono in grado di individuare una password costituita da una parola presente in un dizionario entro un secondo.

Strumenti come questi possono colpire molti protocolli di computer (come FTP, MySQL, SMPT e Telnet) e consentono agli hacker di violare i modem wireless, individuare le password deboli, decifrare le password in archivi crittografati, tradurre le parole in linguaggio leet ("don'thackme" diventa "d0N7H4cKm3" nel linguaggio leet), provare tutte le possibili combinazioni di caratteri e perpetrare attacchi dizionario.

Alcuni strumenti eseguono la scansione di tabelle Rainbow pre-calcolate per analizzare gli input e output di funzioni hash note, il metodo di crittografia basato su algoritmo utilizzato per tradurre le password in serie estese a lunghezza fissa di lettere e numeri.

La GPU accelera gli attacchi di forza bruta

La combinazione della CPU e dell'unità di elaborazione grafica (GPU) accelera il calcolo, aggiungendo le migliaia di core della GPU alla potenza di elaborazione e consentendo al sistema di gestire più attività simultaneamente. La GPU si usa per elaborare attività di analisi, progettazione e altre applicazioni che richiedono elaborazione intensiva e può decifrare le password con una velocità circa 250 volte più alta rispetto alla sola CPU.

Ad esempio, una password di sei caratteri che include numeri può avere circa 2 miliardi di combinazioni possibili. Per decifrarla con una CPU potente, che tenta 30 password al secondo, sono necessari più di due anni. Se si aggiunge un'unica potente scheda GPU, lo stesso computer può provare 7.100 password al secondo e il tempo per individuare la password si riduce a 3 giorni e mezzo.

Procedura di protezione delle password per gli specialisti IT

Per rendere più difficile la riuscita degli attacchi di forza bruta, gli amministratori di sistema devono garantire che le password dei loro sistemi siano crittografate con i maggiori livelli di crittografia possibili, come la crittografia a 256 bit. Maggiore è il numero di bit nello schema di crittografia, più è difficile individuare la password.

Gli amministratori devono anche eseguire l'hash salting, ovvero rendere casuali gli hash delle password aggiungendo una stringa casuale di lettere e numeri (chiamata salt) alla password stessa. Questa stringa deve essere memorizzata in un database separato e recuperata e aggiunta alla password prima che ne sia eseguito l'hashing. In questo modo, utenti con la stessa password hanno hash diversi. Inoltre, gli amministratori possono richiedere l'autenticazione in due fasi e installare un sistema di rilevamento delle intrusioni che individua gli attacchi di forza bruta.

Anche la limitazione del numero di tentativi riduce la suscettibilità agli attacchi di forza bruta. Ad esempio, se si consentono tre tentativi di immissione della password prima di bloccare l'utente per diversi minuti è possibile causare ritardi significativi e indurre gli hacker a passare a bersagli più facili.

Modi a disposizione degli utenti per rendere le password più sicure

Quando possibile, gli utenti devono scegliere password di 10 caratteri che includono simboli o numeri. In questo modo ci sono 171,3 quintilioni (1,71 x 10 ²⁰) di possibilità. Utilizzando un processore GPU che tenta 10,3 miliardi di hash al secondo, l'individuazione della password dovrebbe richiedere circa 526 anni, sebbene un supercomputer potrebbe individuarla in poche settimane.

Non tutti i siti accettano password così lunghe, perciò gli utenti devono scegliere passphrase complesse anziché singole parole. È importante evitare l'uso di password comuni e cambiarle spesso.

Installando un si automatizza la gestione delle password, consentendo agli utenti di accedere a tutti i propri account dopo aver eseguito l'accesso al gestore di password. Gli utenti possono quindi creare password complesse estremamente lunghe per tutti i siti che visitano, archiviarle in modo sicuro, limitandosi a ricordare solo la password per il gestore di password.

Per verificare la complessità della passphrase, gli utenti possono visitare https://password.kaspersky.com .

Articoli correlati:

• Cos'è l'adware?
• Cos'è un trojan?
• Dati concreti e domande frequenti su virus informatici e malware
• Spam e phishing

Prodotti correlati:

• Kaspersky Total Security
• Kaspersky Internet Security
• Antivirus di Kaspersky
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android