Gli attacchi di forza bruta (brute force attack)

consistono nell’individuare un username e una password, provando tutte le possibili combinazioni di lettere, caratteri speciali e numeri. Può richiedere un elevato numero di tentativi e un lungo tempo d’esecuzione.
L’obiettivo è individuare la password che permette di accedere a un determinato sistema informatico, provando tutte le combinazioni possibili. Fino a che non si trova quella giusta.
In genere, è usato dagli hacker per rubare informazioni sensibili o diffondere malware. Un metodo che viene considerato come ultima spiaggia, quando non rimane altro da tentare, perché è per natura poco efficiente: può richiedere un elevatissimo numero di tentativi e un lungo tempo d’esecuzione.

attacchi forza brutaCosa fa un attacco di forza bruta
Un attacco brute force può essere sfruttato per recuperare qualunque tipo di password. Da quella che usiamo per Gmail a quella di Facebook, passando per la chiave che ci permette di accedere ai nostri servizi finanziari, a server FTP e SSH. In pratica, consiste nel provare tutte le possibili combinazioni di lettere, caratteri speciali e numeri che viene, ovviamente, eseguita da un software.

Il tempo di riuscita dell’impresa dipende dalla velocità di calcolo del computer, nonché dalla complessità e la lunghezza della password utilizzata.

Il così detto attacco a dizionario, una variante del brute force

Una variante dell’attacco a forza bruta è l’attacco “a dizionario” che consente di provare a decifrare un codice o una password, vagliando un numero finito di stringhe di solito già generate, come ad esempio parole comuni. Un dizionario, appunto, che viene fornito al software. Così i tempi di ricerca si riducono.

Non è detto che il sistema si riveli efficace, anche se spesso ha buone probabilità di successo perché la maggior parte delle persone tende a usare password semplici da ricordare (il nome proprio, quello di persone care, o date di nascita), scegliendo parole prese dalla propria lingua nativa. Esistono diversi strumenti per creare dizionari efficaci per attacchi brute force, come Crunch, disponibile in diverse distribuzioni Linux.

Uno dei più grandi attacchi di forza bruta ha preso di mira GitHub, la piattaforma utilizzata dagli sviluppatori per condividere i loro progetti software. Questo è stao nel 2013, quando i cyber criminali hanno usato una lista di nomi utenti e password – che avevano recuperato attraverso un attacco precedente – e puntato a carpire le credenziali GitHub di migliaia di utenti. GitHub ha avvisato i proprietari degli account compromessi, anche se non ha mai rivelato pubblicamente il numero delle persone coinvolte.

attacchi forza brutaCome difendersi dagli attacchi brute force
La miglior protezione è una buona password, che dobbiamo imparare a considerare importante al pari delle chiavi di casa. La maggior parte delle persone, invece, ne sottovaluta la rilevanza e per comodità sceglie combinazioni facili. Basti pensare che nel 2016 la password più utilizzata è stata “123456”, mentre il secondo posto è andato alla parola “password”, e il terzo al codice “12345678”. Un altro errore fatto molto spesso è quello di usare la stessa parola ripetuta al contrario. Una leggerezza che il cybercrime conosce molto bene: infatti, in Rete esistono decine di programmi gratuiti che sfruttano gli schemi comuni, permettendo di decifrare password poco complesse.

Una buona pratica per mettere a punto una password sicura è ideare parole chiave che utilizzino una combinazione di lettere maiuscole, minuscole, numeri e caratteri speciali. La si può ottenere, senza per forza rinunciare alla memoria. Un esempio sono gli acronimi di una frase semplice e rappresentativa come:

Io mi chiamo Giorgio e ho 1 Mamma

che diventa:

ImcGeh1M

Un’altra soluzione è l’utilizzo di un generatore di password. WordPress stesso ti da la possibilità di generare password complesse e casuali al momento di scegliere la vostra password.

Il brute force attack è l’ultima possibilità per gli hacker per poter rubare i tuoi dati sensibili, ma ci sono tanti altri modi per entrare nel tuo sito e mettere a repentaglio il lavoro fatto.

Proteggi il tuo sito, guarda i nostri servizi sulla sicurezza!

Attacchi di forza bruta (brute force attack)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

I cookie, anche di terze parti, ci permettono di migliorare la navigazione. Puoi cliccare su abilita per acconsentire ai cookie. Per maggiori informazioni invitiamo a leggere la  Cookie policy