I criminali informatici possono trovare rapidamente password deboli o non sufficientemente sicure utilizzando un attacco di forza bruta.
Sperimentano diverse combinazioni di caratteri casuali e password note piuttosto che dipendere solo dall’inventiva per accedere al bersaglio.
Molto spesso commettiamo l’errore di scegliere frettolosamente la nostra password, anche se questo è aspetto di vitale importanza per la tutela dei nostri dati.
Dal 2013, il primo giovedì di maggio, che quest’anno ricorre il 5 maggio, si celebra la Giornata mondiale della password per commemorare l’importanza di questo strumento di difesa.
Tuttavia, la comprensione dei rischi associati all’utilizzo di una password debole è rimasta relativamente bassa negli ultimi anni, considerando che la password più utilizzata nel 2021 era 123456, una sequenza che anche un bambino potrebbe indovinare.
Di seguito, ne vedremo la dinamica e quali errori dovresti evitare per limitare la tua esposizione a questi attacchi.
Sommario degli argomenti
Gli attacchi di forza bruta utilizzano tentativi per provare diverse combinazioni di caratteri fino a trovare quella esatta.
Questo avviene fatto con l’ausilio di un algoritmo piuttosto che a mano. La lunghezza della password e la sofisticatezza dell’hardware a disposizione dei criminali informatici determinano il tempo necessario per trovare la “chiave” corretta:
-
Un PIN a quattro cifre, ad esempio, fornisce 10.000 potenziali combinazioni.
Anche se sembra molto, un processore moderno può creare tutte le candidate “chiavi” in una minuscola frazione di secondo.
-
Il numero di possibili combinazioni sale a 52^8 quando si utilizza una password di otto lettere che contiene sia lettere maiuscole che minuscole.
Ci sono più di 53 trilioni di risposte potenziali, o 53.459.728.531.456. Una CPU ad alte prestazioni impiegherebbe circa sette ore per valutarle tutte.
-
Le chiavi a 128 e 256 bit che utilizzano tecniche di crittografia come AES sono molto sicure.
Sono rispettivamente di 32 e 64 caratteri in notazione esadecimale. Ci vorrebbero diversi anni anche per il computer più potente del mondo per individuare tutte le potenziali combinazioni.
-
Il software disponibile sulla darknet genera potenziali password. Lì, gli hacker possono persino acquistare botnet od ottenere elenchi di password da precedenti furti di dati. Queste reti di computer esterne possono aumentare notevolmente la capacità di elaborazione a disposizione di un criminale informatico, proprio come fanno gli attacchi DDoS.
-
Informazioni sensibili
le informazioni finanziarie sensibili e le e-mail private possono essere utilizzate per perpetrare furti d’identità, ricattare persone o rubare denaro.
I dati aziendali o commerciali possono essere presi da una società e venduti a un rivale, il che può essere estremamente redditizio. -
Malware
le e-mail contenenti allegati infetti o collegamenti a siti web truffa possono essere inviate tramite account e-mail compromessi.
I destinatari sono più a rischio di quanto non sarebbero in un tipico attacco di malware poiché l’indirizzo e-mail violato è probabilmente uno con cui hanno familiarità. -
Estorsione ed esfiltrazione di dati
compromettendo una password e utilizzandola per accedere a un sistema, gli hacker possono combinare attacchi di forza bruta con altre tattiche, ad esempio attacchi ransomware. In seguito, potrebbero crittografare le informazioni e richiedere un riscatto in cambio della chiave di decrittazione.
-
Assumere il controllo di un sito Web
utenti malintenzionati possono pubblicare un banner su un sito Web, all’insaputa di tutti, dopo aver ottenuto le informazioni di accesso tramite attacchi di phishing o di forza bruta. Chi clicca involontariamente sul banner viene indirizzato sui siti web fasulli per il successivo furto di dati.
-
Minare la reputazione della vittima
pubblicare informazioni riservate sui profili sociali e/o metterli in vendita nel dark web.
Gli hacker non sono necessariamente limitati a combinazioni di caratteri arbitrarie. Gli attacchi di forza bruta sono raggruppati nei seguenti gruppi in base all’approccio utilizzato:
-
Attacchi di forza bruta tradizionali
il software produce tutte le possibili combinazioni di password, testandole sui bersagli.
-
Credenziali d’accesso
gli hacker innanzitutto ottenendo la password, ad esempio tramite tecniche di phishing. Quindi tentano la stessa password su diverse piattaforme. Questo funziona spesso poiché molte persone utilizzano le stesse credenziali per diversi account.
-
Attacchi a dizionario
questa tipologia consiste nel tentare di accedere utilizzando combinazioni di caratteri da un dizionario o da un elenco di password. Approfittano del fatto che la maggior parte delle persone sceglie termini o frasi ben noti per rendere le proprie password più facili da ricordare.
-
Attacchi ibridi
gli attacchi di forza bruta spesso prevedono l’utilizzo di più tattiche.
Gli hacker possono combinare le password del dizionario con caratteri o cifre speciali, sfruttano la propensione delle persone ad aggiornare raramente le proprie password. -
Attacchi di forza bruta inversa
i criminali informatici utilizzano un’unica password su centinaia di account diversi anziché tentare di entrare in un unico account. Vengono tentate password semplici come 123456 in una modalità simile agli attacchi a dizionario.
Quando si creano password, uno degli errori più comuni è includere parole o numeri che ci identificano.
Molti utenti scelgono d’inserire informazioni come nome, data di nascita, ID o numero di cellulare. Il problema è che gli hacker sfruttano le impostazioni che vengono regolarmente utilizzate dagli utenti.
Cioè, possono considerare diverse combinazioni del nostro nome o data di nascita.
Possono quindi accedere ai nostri account testando queste combinazioni. L’utilizzo di password brevi è un altro errore che gli hacker vogliono che facciamo. Aggiungendo più lettere, numeri e simboli, potremmo aumentare la sicurezza della password.
Se utilizziamo una password troppo breve, è possibile che venga identificata facilmente utilizzando tecniche di forza bruta.
Pertanto, è fondamentale combinare lettere maiuscole e minuscole, numeri e altri simboli.
Creare chiavi che includano solo lettere e numeri è un altro errore frequente. Ciò corrisponde in parte a quanto detto sopra. Può essere notevolmente più semplice decifrare le password se utilizziamo semplicemente lettere e numeri, poiché ciò le rende molto più vulnerabili agli attacchi di forza bruta. I criminali informatici troveranno molto più difficile decifrare una password con un solo simbolo distintivo.
Qualcosa come “%”, “&” o “$”, infatti, il numero di possibili combinazioni cresce esponenzialmente, rendendo questa chiave molto robusta. Naturalmente, non aggiornare regolarmente le password aumenta la possibilità di successo degli attacchi di forza bruta. Le perdite di password, d’altra parte, sono possibili.
Se un servizio che utilizziamo presenta una violazione della sicurezza e non abbiamo aggiornato la password, gli hacker potranno comunque accedervi. Ecco perché è fondamentale cambiare le password regolarmente. Tuttavia, molti utenti generano password lunghe e difficili da ricordare che includono tutto il necessario per renderle difficili.
Fanno però il grave errore di salvarli in un semplice file di testo sul computer, per esempio. Se un criminale informatico ottenesse l’accesso alla cartella contenente le chiavi, sarebbe tutto uno sforzo inutile. Infine, un altro errore molto frequente è l’utilizzo della stessa chiave d’accesso per più servizi.
Se un utente malintenzionato rubasse una password, si creerebbe un “effetto domino” che consente l’accesso a tutti gli account che condividono la stessa password. Questo è un punto critico.
Dobbiamo evitare di utilizzare la stessa password in più posizioni, altrimenti rischiamo di mettere a repentaglio la sicurezza di tali account.
La situazione ideale è sviluppare una chiave che sia unica in ogni caso e soddisfi gli standard di sicurezza.
Non esiste un modo per prevenire definitivamente gli attacchi di forza bruta.
Tuttavia, utilizzare i metodi più appropriati consente agli utenti di rendere difficile agli hacker scoprire le proprie credenziali.
Di seguito alcuni suggerimenti:
-
Selezionare password che contengano almeno 15 caratteri per garantirne la solidità.
Non utilizzare parole, date di nascita o frasi reali. Creare password complesse e gestirle è abbastanza semplice utilizzando un password manager.
-
Accesso sicuro: utilizzare l’autenticazione a due fattori ove possibile.
-
Usare protocolli crittografati, come HTTPS, nelle tue comunicazioni per impedire agli hacker d’intercettare i tuoi dati quando inserisci la tua password.
-
I tentativi di accesso dovrebbero essere limitati
imposta un limite al numero di tentativi di accesso non riusciti. Ad esempio, dopo tre tentativi di accesso falliti, un account potrebbe essere temporaneamente bloccato. Anche se questo è vantaggioso, non protegge da un attacco di forza bruta inversa. -
Modificare le porte predefinite: le applicazioni Internet utilizzano spesso una shell sicura per fornire comunicazioni crittografate tra client e server (SSH). Il numero di porta standard di questa comunicazione è 22. Essendo consapevoli di ciò, gli hacker troveranno più semplice indirizzare un server con questa configurazione.
Per modificare la porta, è sufficiente aprire il file di configurazione sshd e cambiare la porta 22 con un numero compreso tra 1024 e 65536. Assicurarsi che la porta non sia già in uso.
-
Limitare l’accesso alle connessioni desktop remote
è importante poiché molti attacchi di forza bruta sfruttano questi difetti. Assicurati che solo determinati indirizzi IP possano accedervi. Un’alternativa consiste nell’utilizzare un approccio di sicurezza zero trust, che include geoblocking, firewall e autenticazione a due fattori. -
Il traffico dovrebbe essere controllato
i log possono mostrare una cronologia di tentativi di accesso non riusciti.Esaminare regolarmente i record e vietare qualsiasi indirizzo IP sospetto.
-
Rimuovere regolarmente gli account inattivi
se un account non viene utilizzato da un po’ di tempo, è probabile che le credenziali di accesso siano obsolete e/o non conformi agli attuali standard di sicurezza.
La criminalità informatica continua a crescere e anche le piccole imprese non possono sentirsi al sicuro. Sei un possibile bersaglio di un attacco nell’istante in cui apri un sito web. Non aspettare che sia troppo tardi per prendere le contromisure appropriate.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Sono un giovane italo-tunisino appassionato della camminata. Da piccolo cambiavo sempre il mio tragitto per andare a scuola e nel 2008 mi trasferivo in Italia per iniziare un nuovo cammino.
Questa passione mi ha consentito di raggiungere importanti traguardi formativi, quali il diploma come perito tecnico industriale con il massimo dei voti e la laurea triennale in ingegneria biomedica.
Attualmente, sono uno studente laureando alla magistrale di Biomedical Engineering. Di recente ho vinto l’assegnazione della Cybersecurity Scholarship 2021 – 2022 Cisco.
