ProtonBlog
Iscriviti con RSS
what is a brute force attack

Cos’è un attacco brute force?

Condividi questa pagina

Nel contesto della cybersecurity, un termine che spesso si incontra è attacco brute force. Un attacco brute force è qualsiasi attacco che non si basa sulla raffinatezza, ma utilizza la pura potenza di calcolo per violare la sicurezza o addirittura la crittografia sottostante.

In questo articolo esaminiamo cosa sono gli attacchi brute force, come funzionano e come puoi prevenirli.

Cosa significa attacco brute force?

L’equivalente nel mondo reale di un attacco brute force è scardinare una serratura non con un grimaldello, ma piuttosto con un piede di porco. È rumoroso, disordinato e poco elegante, ma fa il suo lavoro.

Un buon esempio di come questo principio si manifesti digitalmente è quello che viene chiamato un attacco dizionario — utilizzato nell’incidente di sicurezza di Dropbox del 2012, noto per la violazione delle credenziali di 68 milioni di utenti, come riportato nel caso di sicurezza Dropbox. In questo scenario, un attaccante proverà a indovinare una password per un account online facendo provare a un programma migliaia, se non milioni, di parole comuni nella speranza di avere fortuna e trovare quella giusta.

Le supposizioni si basano su password note e loro derivati, non solo parole del dizionario, e ogni tentativo viene di solito effettuato uno per uno. Basta un sistema abbastanza potente da ripetere il calcolo, ancora e ancora, finché il programma non trova la giusta combinazione di simboli che compongono la password per quell’account.

Va detto che usare un piede di porco digitale in questo modo non è solo intensivo in termini di risorse, ma richiede anche molto tempo. Anche se inserire possibili password può essere fatto velocemente, in pochi millisecondi, il loro enorme numero fa sì che questi millisecondi si accumulino. Di conseguenza, i proprietari di un sito spesso possono bloccare un attacco prima che provochi danni reali — ma non sempre.

Esempi di attacchi brute force

Gli attacchi dizionario sono solo un tipo di attacco brute force, proprio come i piedi di porco sono solo un modo per forzare una serratura. Di seguito alcuni dei più comuni.

Riempimento delle credenziali

Gli attacchi di riempimento delle credenziali sono un altro tipo molto basilare. Piuttosto che indovinare le informazioni di accesso delle vittime, prendono credenziali note — di solito rese pubbliche in una violazione — e poi le provano su diversi siti in grandi numeri (riempiendoli).

Poiché molte persone riutilizzano il loro nome utente e password — risultato della stanchezza delle password tanto quanto altro — ciò rende il riempimento delle credenziali una strategia di attacco di successo per qualsiasi cybercriminale che cerca di fare soldi facilmente.

Attacchi di password spraying

Gli attacchi di password spraying, noti anche come attacchi di forza bruta inversa, seguono un approccio simile. In questo caso, gli aggressori hanno una lista di nomi utente e poi procedono lungo questa lista utilizzando password semplici, sperando di avere fortuna.

Questo tipo è particolarmente efficace contro organizzazioni con sicurezza trascurata. La maggior parte delle aziende ha un modo stabilito per generare nomi utente (combinando nome e cognome, ad esempio), e gli amministratori non sempre obbligano gli utenti a cambiare la password predefinita (che spesso è qualcosa tipo password123). Se anche un solo utente non ha cambiato la propria password, gli aggressori ottengono facilmente accesso.

Prevenzione degli attacchi di forza bruta

Se hai occhio, avrai notato che tutti i tipi di attacchi di forza bruta sopra menzionati hanno qualcosa in comune: tutti prendono di mira password facilmente indovinabili. Pertanto, se proteggi la tua password, sei per lo più al sicuro da questi tipi di tattiche di forza bruta.

Ad esempio, gli attacchi dizionario possono essere contrastati utilizzando password lunghe e casuali. Queste metteranno in difficoltà qualsiasi programma di generazione password poiché non possono prevedere quale sarà il simbolo successivo. Più le rendi lunghe, più tempo impiegheranno a essere violate, arrivando a miliardi di anni con una password di 16 caratteri.

Gli attacchi di credential stuffing possono essere prevenuti utilizzando sempre password casuali e mai la stessa password due volte. Anche se una violazione espone una delle tue password, saprai che tutti i tuoi altri account sono al sicuro.

Utilizzando queste due tattiche impedirai anche gli attacchi di password spraying poiché questi si basano sul riutilizzo di password deboli da parte delle organizzazioni. Utilizzando sempre password robuste in combinazione con l’autenticazione a due fattori (2FA), che richiede l’uso di un secondo dispositivo per provare la tua identità, hai reso inutile qualsiasi tentativo di password spraying.

Come prevenire gli attacchi di forza bruta con Proton

Tutti i consigli sopra sono parte di una buona politica delle password, sia che tu sia un’azienda o un individuo. Tuttavia, per implementarli, avrai bisogno di un gestore di password, un programma che può generare e memorizzare password per te, e persino compilarle automaticamente mentre navighi. Sono un modo non solo per migliorare la tua sicurezza online, ma anche la qualità della vita.

Un gestore di password può essere molto di più, ed è per questo che abbiamo sviluppato Proton Pass. Il nostro gestore di password ha tutte le funzionalità di base di cui hai bisogno per proteggerti dagli attacchi di forza bruta — incluso il supporto integrato per 2FA che rende questa caratteristica essenziale molto meno complicata — ma offre anche alcuni extra unici che ti aiuteranno a costruire una identità digitale che ti terrà al sicuro dagli attacchi.

Ad esempio, quando crei account puoi utilizzare gli alias hide-my-email, che puntano al tuo vero indirizzo email senza rivelarlo. Questi rendono molto difficile per la maggior parte degli attacchi di forza bruta prenderti di mira poiché non avranno un nome utente che è stato utilizzato su altri account. Puoi anche scegliere di utilizzare i passkey sui siti che supportano questo metodo di autenticazione all’avanguardia. Utilizzandoli, non c’è password da indovinare, rendendo gli attacchi di forza bruta inutili.

Oltre a questi, abbiamo anche alcune funzionalità che migliorano la tua sicurezza in modi più generali. Il miglior esempio è la crittografia end-to-end, che assicura che le tue password siano note solo a te. Nessuno, neanche noi, sa cosa stai memorizzando con noi. Questo è ottimo per la sicurezza, ma promuove anche una maggiore privacy.

Questa combinazione di sicurezza e privacy è ciò che rende Proton leader in questo settore. Essendo totalmente finanziati dalle sottoscrizioni — nessun capitale di rischio, nessun inserzionista — contiamo su di te per mantenere attiva la nostra attività. Di conseguenza, metteremo sempre te, la nostra comunità, al primo posto. Se ti piace l’idea di far parte di questo, unisciti a Proton Pass oggi stesso.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

compromised passwords
en
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Le basi della privacy
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Le basi della privacy
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
I furti di dati sono sempre più comuni. Ogni volta che ti registri a un servizio online, fornisci informazioni personali preziose per gli hacker, come indirizzi email, password, numeri di telefono e altro ancora. Purtroppo, molti servizi online non p
Una comunicazione sicura e fluida è il fondamento di ogni azienda. Con sempre più organizzazioni che proteggono i loro dati con Proton, abbiamo notevolmente ampliato il nostro ecosistema con nuovi prodotti e servizi, dal nostro gestore di password al
La Sezione 702 del Foreign Intelligence Surveillance Act è diventata famigerata come giustificazione legale che consente ad agenzie federali come la NSA, la CIA e l’FBI di effettuare intercettazioni senza mandato, raccogliendo i dati di centinaia di