Cos'è un attacco a dizionario?

La maggior parte delle persone è a conoscenza delle buone abitudini da seguire per la sicurezza online. Spesso, però, non ne fa integralmente uso, esponendosi così al rischio di attacchi a dizionario. Anche se sanno di dover proteggere i propri account online, molte persone vengono meno a semplici linee guida come la creazione di password complesse. Uno studio condotto da Google ha infatti rilevato che circa il 65% delle persone riutilizza le password per più account. Inoltre, il 59% utilizza nelle password dettagli personali facili da indovinare o scoprire, come i nomi di animali domestici e le date di nascita.

Per di più, le persone spesso utilizzano password semplici e scontate che sono molto facili da decifrare. Alcuni studi hanno dimostrato che le sequenze di tasti come “123456” e “qwerty” e le parole come “Password”, “tiamo” e “Benvenuto” sono tra le più utilizzate e compaiono regolarmente nei casi di fughe di dati.

È quindi implicito che l'elevata frequenza e il notevole successo di questi attacchi siano semplicemente dovuti al fatto che le persone non prendono sul serio la prevenzione da attacchi a dizionario.

Attacchi a dizionario: definizione

Nella sua forma più semplice, un attacco a dizionario è un tipo di attacco di forza bruta in cui gli hacker tentano di indovinare la password degli account online di un utente scorrendo rapidamente un elenco di parole, frasi e combinazioni numeriche comunemente utilizzate. Una volta decifrata una password mediante un attacco a dizionario, l'hacker può utilizzarla per accedere ad account bancari, profili di social media e persino file protetti da password. È a questo punto che l'attacco può diventare un vero problema per la vittima.

Come funziona un attacco a dizionario?

Questa tecnica di hacking è basata su un approccio sistematico per decifrare le password. Le fasi per realizzare con successo una tecnica di questo tipo sono essenzialmente tre e comprenderle può essere utile per imparare a prevenire un attacco a dizionario.

1. Di solito, l'aggressore crea un elenco predefinito di possibili password, ossia un dizionario di forza bruta, che presenta combinazioni di parole e numeri comuni.
2. Il dizionario di forza bruta viene quindi utilizzato da software automatizzato per tentare di violare gli account online.
3. Una volta violato un account vulnerabile mediante l'attacco a dizionario, l'hacker sfrutta i dati sensibili memorizzati nel profilo per raggiungere i propri scopi. L'aggressore può agire per perpetrare una frode, intraprendere un'azione dannosa o semplicemente accedere agli account per ottenere un guadagno economico.

Per compilare l'elenco delle possibili password, spesso l'aggressore utilizza, ad esempio, i nomi di animali domestici, di personaggi riconoscibili della cultura pop o di squadre sportive e atleti importanti. Questo perché molte persone utilizzano parole di questo tipo per creare password che abbiano per loro un significato e siano facili da ricordare. L'elenco normalmente include diverse varianti, come varie combinazioni di parole oppure parole unite a caratteri speciali.

La possibilità di scorrere questo elenco con strumenti automatizzati contribuisce inoltre a facilitare il successo degli attacchi a dizionario. Con l'uso combinato di un elenco di password e di uno strumento automatizzato, tentare di decifrare una password e accedere a un account online risulta molto più rapido. Se il tentativo fosse eseguito manualmente, l'attacco richiederebbe troppo tempo e darebbe al proprietario dell'account, o all'amministratore del sistema, il tempo di accorgersene e di attuare una misura di difesa.

Per il modo in cui operano, questi attacchi a dizionario spesso non hanno un singolo obiettivo, ma vengono semplicemente eseguiti nella speranza che una delle password dell'elenco sia corretta. Tuttavia, se l'aggressore ha come obiettivo un luogo o un'organizzazione particolare, creerà un elenco di parole più mirato e localizzato. Ad esempio, se pianifica un attacco in Spagna, potrebbe utilizzare parole comuni in spagnolo anziché in italiano. Se invece ha come obiettivo una determinata organizzazione, potrebbe utilizzare parole ad essa associate.

Attacchi a dizionario e forza bruta: qual è la differenza?

Anche se un attacco a dizionario è un tipo di attacco di forza bruta, esiste una differenza sostanziale tra i due. Mentre gli attacchi a dizionario si basano su un elenco preimpostato di parole per tentare sistematicamente di decifrare le password degli account, gli attacchi di forza bruta non utilizzano un elenco, ma scorrono ogni combinazione casuale di lettere, simboli e numeri che potrebbe essere stata scelta per creare una password. Di conseguenza, gli attacchi a dizionario sono in genere più efficienti, e quindi hanno maggiore probabilità di successo, semplicemente perché hanno meno combinazioni da provare.

Con 26 lettere dell'alfabeto e 10 numeri a una cifra, per un totale di 36 caratteri, il numero di combinazioni possibili che un attacco di forza bruta deve scorrere per avere successo è ai limiti dell'impraticabile. Ad esempio, per riuscire a violare una password di 10 caratteri, un attacco di forza bruta dovrebbe scorrere 3,76 quadrilioni di potenziali password alfanumeriche.

Il vantaggio degli attacchi di forza bruta consiste tuttavia nella maggiore probabilità di riuscire a decifrare password difficili e univoche grazie al loro approccio per tentativi ed errori. Dato che viene scorso un elenco così esauriente di possibili password, esiste una maggiore probabilità che questi attacchi riescano a trovare la combinazione giusta di caratteri di una password qualsiasi.

Come prevenire gli attacchi a dizionario

Capire cos'è un attacco a dizionario e come funziona è un passo avanti per evitare che questo si verifichi. Ma per chi vuole seriamente prevenire gli attacchi a dizionario, possono essere utili questi consigli:

1. Evitare le password, quando possibile: il modo più semplice e infallibile per evitare un attacco a dizionario è quello di eliminare completamente l'uso delle password. In alternativa, per tenere gli account al sicuro, è preferibile utilizzare soluzioni di autenticazione senza password o con sistemi di riconoscimento biometrico, quando disponibili.
2. Utilizzare password casuali: cercare di evitare di creare password contenenti dati personali, come date di nascita, nomi di animali domestici o altre informazioni che possono essere facilmente scoperte. A questo scopo può essere utile uno strumento di gestione delle password che consenta di creare, archiviare e immettere le password in un formato sicuro.
3. Evitare le password ovvie: incredibilmente, molte persone utilizzano password composte da una combinazione di parole e numeri semplice e facilmente violabile, come "Password123" o "abcd1234". Queste sono le password più esposte a violazioni perché gli attacchi a dizionario sono specificamente progettati per identificare le password facili da indovinare.
4. Scegliere una passphrase: anziché scegliere come password una combinazione di parole e numeri, è possibile creare frasi complete per accedere agli account. Sono molto più difficili da indovinare, ma spesso risultano facili da ricordare per gli utenti. Ad esempio, un ragazzo a cui piace giocare a calcio potrebbe usare una frase del tipo "Voglio essere un campione di serie A". Per rendere ancora più sicura la passphrase, è possibile aggiungere numeri, caratteri e lettere maiuscole casuali, trasformando così la frase in "Woglio€s$ere1C@mpionEDis€rieA!".
5. Utilizzare l'autenticazione a due fattori: configurare gli account in modo da richiedere due (o più) fattori di autenticazione per l'accesso. Ad esempio, una password, una password monouso generata da un'app di autenticazione e un'impronta digitale.
6. Provare le app di autenticazione: quando possibile, provare a utilizzare le app di autenticazione in sostituzione o in combinazione con le password. Molte di queste app possono essere facilmente scaricate su uno smartphone e collegate a un determinato account, e forniscono password monouso generate casualmente per ogni tentativo di accesso.
7. Limitare i tentativi di accesso: alcuni siti Web e app ora limitano il numero di tentativi di accesso consentiti entro un determinato periodo di tempo. Se questa opzione è disponibile, è consigliabile abilitarla per ogni account in modo da evitare attacchi a dizionario.
8. Applicare la reimpostazione forzata: gli attacchi a dizionario contano sulla possibilità di eseguire più tentativi per decifrare una password. Applicando la reimpostazione forzata della password dopo un certo numero di tentativi non riusciti si riducono al minimo le probabilità di successo di un attacco. Se questa opzione non può essere abilitata automaticamente sugli account, si può sempre ricorrere a una soluzione più manuale impostando l'invio automatico di un'e-mail in caso di tentativo di accesso non riuscito. Se si riceve una notifica di un tentativo di accesso a un account, soprattutto se ne vengono inviate diverse in successione, è possibile accedere e cambiare la password per mettere l'account al sicuro.
9. Evitare di utilizzare determinate parole: evitando l'uso di parole comuni in tutte le password si aggiunge un ulteriore livello di protezione per la sicurezza degli account.

Gli strumenti di gestione delle password possono aiutare a prevenire gli attacchi a dizionario?

Gli strumenti di gestione delle password possono essere una soluzione utile per gestire le credenziali dell'account in modo sicuro e ridurre al minimo la probabilità di esposizione a un attacco a dizionario. Le app come Kaspersky Password Manager offrono una gamma di vantaggi che possono aiutare a tenere le password al sicuro. Ecco alcuni motivi per cui prendere in considerazione la possibilità di utilizzare uno di questi strumenti:

• Uso di una sola password: con uno strumento per la gestione delle password, è sufficiente dover ricordare una password principale per accedere al proprio account e gestire tutte le altre credenziali di accesso per i singoli account.
• Generazione di password casuali complesse: la maggior parte di questi programmi consente agli utenti di impostare password molto complesse generate automaticamente. Poiché non contengono parole o frasi comuni, queste password sono in genere al sicuro dagli attacchi a dizionario. Anche se, naturalmente, c'è sempre il rischio che vengano violate da un attacco di forza bruta.
• Facilità di accesso agli account: gli strumenti di gestione delle password offrono spesso la possibilità di archiviare in modo sicuro i dati di accesso a ciascun account individuale e quindi di inserire automaticamente tali dati per ogni tentativo di accesso a un sito Web, un account o un'app.
• Condivisione sicura delle password: se è necessario condividere le password di account, ad esempio con amici, familiari o colleghi, gli strumenti di gestione delle password consentono di farlo in tutta sicurezza, gestendo al contempo anche l'accesso.
• Archiviazione sicura dei dati: molti strumenti di gestione delle password offrono ora la possibilità di archiviare dati, quali documenti personali, cartelle cliniche e foto, in formato criptato, in modo da garantire la protezione dei dati sensibili.

Misure da adottare per prevenire un attacco a dizionario

Gli attacchi a dizionario sono un tipo di cybercrimine molto comune utilizzato dagli hacker per ottenere l'accesso agli account personali di un individuo, inclusi gli account bancari, i profili di social media e le e-mail. Una volta ottenuto l'accesso, gli hacker possono compiere qualsiasi tipo di azioni, da frodi finanziarie e post di social media dannosi a ulteriori cybercrimini come il phishing. Tuttavia, prevenire un attacco a dizionario più essere semplice come implementare alcune misure di salvaguardia per ridurre al minimo il rischio di cadere vittima di questi attacchi. Ad esempio, l'adozione di abitudini di gestione delle password intelligenti, l'implementazione di diversi tipi di autenticazione e l'uso di strumenti di gestione delle password immediatamente disponibili sono tutte misure che consentono di proteggere le password e gli account.

Kaspersky Endpoint Security ha ricevuto tre premi AV-TEST per le migliori prestazioni, protezione e usabilità come prodotto per la sicurezza degli endpoint aziendali nel 2021. In tutti i test, Kaspersky Endpoint Security ha mostrato prestazioni, protezione e usabilità eccezionali per le aziende.

Articoli e collegamenti correlati:

• Buone abitudini di igiene informatica per stare al sicuro quando si è online
• Consigli per generare password uniche e sicure
• Come proteggere i dati online con un programma di gestione delle password

Prodotti e servizi correlati:

• Kaspersky Premium
• Kaspersky Password Manager