Quando sentiamo parlare di “attacco di forza bruta”, la prima cosa che ci viene in mente è una schiera di cavalieri che sfonda i battenti di un castello. Online, invece, l’assalto avviene in modo molto diverso. Anziché usare un ariete, i criminali informatici procedono per tentativi per decifrare le password e accedere agli account delle loro vittime. La migliore difesa è capire come funzionano gli attacchi di forza bruta e utilizzare strumenti di protezione dalle violazioni che aiutino a salvaguardare i dati.
Un attacco di forza bruta equivale a battere su una porta chiusa a chiave finché non cede: la pura perseveranza alla fine può avere la meglio sulla finezza. Gli hacker che ricorrono a questa forma di attacco procedono per tentativi per indovinare le password, decrittografare dati sensibili o penetrare in reti, siti web o sistemi protetti.
Ad esempio, un aggressore potrebbe iniziare con parole comuni o dati personali (come il nome del tuo primo animale domestico: Fido) per poi provare varianti con numeri o simboli fino a indovinare la combinazione giusta (Fido123).
Per quanto la forza bruta sia uno degli stratagemmi più tradizionali dell’hacking, continua a essere pericolosamente efficace. I moderni aggressori potenziano il processo ricorrendo a strumenti specializzati come Hashcat, che consentono di testare milioni di combinazioni di password in pochi secondi.
Questi attacchi hanno successo nella maggior parte dei casi con password deboli o riutilizzate. Ecco perché credenziali solide e univoche e protezioni multi-livello rappresentano la tua migliore difesa.
Le password composte da una combinazione di caratteri (lettere minuscole e maiuscole, simboli e numeri) sono più difficili da decifrare per gli hacker.
Il termine deriva dal fatto che gli aggressori fanno affidamento sulla forza bruta che contraddistingue una serie di rapidi tentativi per penetrare nei sistemi e sottrarre dati sensibili. È una delle forme più comuni di cracking delle password e gli hacker utilizzano diverse varianti dell’attacco.
Attacchi di forza bruta sempliciRequisiti: tempo, perseveranza e password deboli.
In un attacco di forza bruta semplice, un hacker tenta manualmente e sistematicamente di indovinare le credenziali di accesso di un utente senza affidarsi a strumenti automatizzati. È l’equivalente digitale di provare tutte le chiavi di un enorme mazzo finché una non entra nella serratura.
Di solito gli aggressori iniziano con le scelte più ovvie e comuni, come “1234”, “qwerty” o “password123”. Qualcuno potrebbe anche fare delle ricerche superficiali, come passare in rassegna i social media alla ricerca di dati personali (il nome di un animale domestico, la data di nascita o il cognome da nubile della madre) per formulare ipotesi più informate.
La difesa più efficace è utilizzare password lunghe, complesse e univoche. Aumentando drasticamente il numero di combinazioni possibili, queste password rendono i tentativi di forza bruta lenti, poco pratici e raramente fruttuosi. Al contrario, le password brevi o prevedibili sono facili bersagli e spianano la strada agli hacker.
Attacchi a dizionarioRequisiti: elenchi di parole precompilati, tempo e password deboli.
A differenza di un puro e semplice attacco di forza bruta che prova ogni possibile combinazione, un attacco a dizionario si basa su elenchi precompilati di parole e varianti comunemente utilizzate come password. Immagina di sfogliare un dizionario e provare una voce dopo l’altra finché quella giusta non sblocca l’account.
Spesso gli aggressori arricchiscono questi elenchi con varianti prevedibili, ad esempio sostituendo le lettere con i numeri o aggiungendo caratteri speciali. Benché richieda una maggiore riflessione rispetto alla sola forza bruta, spesso viene combinato con metodi di forza bruta per accelerare i tentativi per indovinare le password.
Gli attacchi a dizionario sono più lenti e meno efficaci contro passphrase complesse e univoche. Se la tua password non compare negli elenchi di parole comuni e non è collegata a dati personali (come nomi di animali domestici o date di nascita), gli aggressori che utilizzano questo metodo hanno molte meno probabilità di farcela.
Attacchi di forza bruta ibridiRequisiti: elenchi di parole precompilati, tempo e password prevedibili.
Un attacco di forza bruta ibrido combina i metodi di un attacco a dizionario con la perseveranza della pura e semplice forza bruta. In genere gli hacker partono da un nome utente noto, poi passano in rassegna un dizionario di parole probabili (come nomi, frasi o luoghi) e concludono aggiungendo combinazioni prevedibili di numeri, date o simboli.
Le tecniche più comuni includono:
Prendere una parola del dizionario come “password” e modificarla leggermente, ad esempio “p@sswOrd”.
Combinare parole con numeri o simboli, ad esempio “Seimio2023”.
Riciclare le password trapelate durante violazioni di dati per verificare se funzionano ancora su altri account.
Combinando ipotesi e riconoscimento di schemi, questo metodo è in grado di decifrare password che sono troppo complesse per un semplice attacco a dizionario, ma troppo prevedibili per resistere alla forza bruta. Le password che combinano parole reali con aggiunte ovvie sono particolarmente vulnerabili.
Attacchi di forza bruta inversiRequisiti: elenchi di account utente e password riutilizzate.
Un attacco di forza bruta inverso capovolge il metodo tradizionale. Invece di partire da un solo nome utente provando combinazioni di password infinite, gli aggressori prendono una singola password debole, come “123456” o “password” e la testano su un vasto elenco di nomi utente. Con un numero sufficiente di account, è molto probabile che almeno qualcuno utilizzi la password selezionata.
Spesso gli hacker fanno affidamento sulle violazioni di dati per questi elenchi di nomi utente. I database violati possono contenere migliaia (o addirittura milioni) di account, offrendo agli aggressori svariate opportunità per mettere a segno l’attacco. Il pericolo aumenta quando le persone riutilizzano la stessa password debole su più piattaforme. Un solo accesso compromesso può scatenare molteplici furti di account, come una fila di tessere del domino che cadono.
Credential stuffingRequisiti: credenziali rubate e password riutilizzate.
Il credential stuffing, o compromissione delle credenziali, è un attacco semplificato e automatizzato che prende di mira le persone che riutilizzano le stesse credenziali di accesso su più account. Invece di indovinare le password, gli hacker prendono nomi utente e password rubati, spesso trapelati durante violazioni di dati, e li “inseriscono” in altri siti e app per vedere in quali funzionano.
Dato che molti utenti riciclano le credenziali, questa subdola variante degli attacchi di forza bruta risulta rapida ed estremamente efficace. Gli aggressori utilizzano bot per testare migliaia di combinazioni di accesso in pochi minuti, spesso aggirando i sistemi di sicurezza di base passando inosservati.
Le password forti sono la kryptonite per gli attacchi di forza bruta e gestirle è molto più semplice con lo strumento giusto. AVG BreachGuard è dotato di un gestore di password integrato e di un vault sicuro per proteggere i tuoi dati di accesso, sincronizzandoli su tutti i tuoi dispositivi. Non solo ti aiuta a proteggerti dagli attacchi informatici, ma ti risparmia anche il fastidio di gestire le e-mail per la reimpostazione delle password.
Sono molte le ragioni per cui gli hacker prendono di mira computer e database con attacchi di forza bruta. Di solito sono in cerca di soldi facili o vogliono creare panico e scompiglio. Altri sono guidati dall’ego.
Furto di dati personali
Con il cracking delle password, gli aggressori possono accedere a dati sensibili come e-mail, indirizzi, registrazioni finanziarie e numeri di documenti d’identità. Queste informazioni sono estremamente preziose per il furto di identità, la rivendita sul dark web o il lancio di attacchi più su vasta scala. Le violazioni a livello aziendale sono particolarmente redditizie, perché consentono agli hacker di accedere a grandi database di dati dell’azienda e dei clienti.
Guadagno finanziario
Spesso l’obiettivo finale è il profitto. Una volta all’interno, gli aggressori possono prosciugare i conti bancari, sfruttare i sistemi di pagamento o commettere frodi utilizzando credenziali rubate. Alcuni dirottano anche i siti web con annunci spam per raccogliere entrate pubblicitarie o vendere i dati di navigazione ai pubblicitari.
Diffusione di malware
I sistemi violati possono essere utilizzati per distribuire malware, ransomware o backdoor per attacchi su vasta scala tramite e-mail e messaggi di testo di spoofing o siti web contraffatti progettati per imitare quelli legittimi. In alcuni casi, la motivazione è semplicemente seminare il caos oppure mettere alla prova le proprie capacità o abilità.
Danni alla reputazione di un’azienda
Divulgazione dei dati dei clienti, periodi di inattività, esposizione pubblica... Un attacco di forza bruta andato a segno è un incubo per il reparto Pubbliche Relazioni e può avere serie ripercussioni per l’azienda. È l’arma ideale per gli hacker che ambiscono a minare la credibilità e a danneggiare l’immagine di un marchio.
Come per qualsiasi attacco informatico, nessuno è immune. Nel 2018, un attacco di forza bruta ha compromesso il Parlamento dell’Irlanda del Nord quando alcuni criminali informatici hanno hackerato gli account e-mail dei membri dell’assemblea indovinando ripetutamente le password. Hanno avuto accesso a dati riservati e hanno persino eliminato account, causando notevoli disagi.
Nemmeno i più grandi attori globali online sono intoccabili. Nel 2016, Alibaba è stato vittima di un attacco di forza bruta che ha reso pubblici i nomi utente e le password di 99 milioni di utenti. E la minaccia non fa che aumentare. Secondo il Rapporto sulle minacce globali di Elastic del 2024, le tecniche di forza bruta sono incrementate del 12% nell’ultimo anno, rappresentando quasi il 35% di tutti i metodi di attacco in Microsoft Azure.
Gli attacchi di forza bruta non sono più soltanto una questione di supposizioni meccaniche e infinite. Gli hacker moderni hanno perfezionato i loro metodi, combinando strategia e strumenti sofisticati per rendere il processo più veloce, più intelligente e molto più pericoloso.
Programmi popolari come Aircrack-ng, John the Ripper e Hashcat automatizzano il processo di “trial-and-error” a velocità incredibili. Questi strumenti possono analizzare elenchi smisurati di password e persino testare combinazioni complesse che gli esseri umani impiegherebbero secoli a indovinare manualmente. L’automazione rimuove i limiti della pazienza e della scalabilità, consentendo agli aggressori di agire come super criminali digitali.
Ma questi attacchi di forza bruta all’avanguardia richiedono un’enorme potenza di calcolo. Per accelerarli, gli hacker combinano la forza delle CPU con la potenza di elaborazione parallela delle GPU. Le GPU, originariamente progettate per attività con un utilizzo intensivo della grafica, come i giochi o il rendering video, sono in grado di elaborare migliaia di tentativi di indovinare password contemporaneamente. Questa configurazione ibrida riduce drasticamente il tempo necessario per violare gli account.
Con l’automazione che si va ad aggiungere alla potenza della GPU, gli attacchi di forza bruta non sono più un lavoro lento e manuale, ma sono diventati attacchi organizzati e su larga scala. Ora gli hacker possono prendere di mira un numero infinito di account contemporaneamente, riducendo in polvere le password più deboli.
E gli attacchi di forza bruta sono solo un esempio di come il crimine informatico si stia evolvendo in una bestia più veloce ed efficiente. Ogni giorno, gli aggressori si stanno innovando: si stima che avvengano circa 190.000 nuovi attacchi malware ogni secondo.
Gli attacchi di forza bruta si basano sulla perseveranza, ma le giuste difese possono bloccarli sul nascere. Ecco come proteggere al meglio i tuoi account e i tuoi dati personali:
Crea password complesse: scegli password forti e univoche con almeno 15 caratteri casuali, possibilmente di più.
Utilizza una passphrase: meglio ancora, fai ricorso a delle passphrase, ovvero frasi composte da parole casuali che sono più facili da ricordare ma molto più difficili da decifrare. Evita opzioni comuni o qualsiasi cosa legata alla tua persona, come la tua squadra del cuore o il luogo in cui sei nato.
Utilizza un gestore di password: un gestore di password genera password forti e univoche e le memorizza in modo sicuro in un vault crittografato. Grazie al riempimento automatico e alla sincronizzazione con il dispositivo, gli accessi quotidiani diventano più rapidi e sicuri.
Utilizza l’autenticazione a due o più fattori: l’autenticazione a due fattori (2FA) o l’autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza ai tuoi account. Che si tratti di un codice SMS monouso, di un’app di autenticazione o della scansione dell’impronta digitale, questo passaggio aggiuntivo tiene lontani gli aggressori anche se indovinano la tua password.
Limita i tentativi di accesso e usa un CAPTCHA: limitare i tentativi di accesso e aggiungere un CAPTCHA rende molto più difficile per i bot automatizzati forzare l’accesso agli account.
Proteggi i dati con il salting e l’hashing: l’hashing trasforma una password in una stringa irreversibile di caratteri, mentre il salting aggiunge un elemento casuale e univoco prima dell’hashing. Insieme, rendono i dati rubati molto più resistenti alla decrittografia.
Monitora gli account alla ricerca di attività sospette: imposta avvisi o monitora gli accessi insoliti, i tentativi falliti o le transazioni inaspettate. Individuare tempestivamente i segnali d’allarme può aiutare a bloccare i tentativi di forza bruta prima che causino danni.
Dalla gestione delle password all’analisi e al monitoraggio in tempo reale, AVG BreachGuard aiuta a proteggere i tuoi dati sensibili dagli attacchi di forza bruta e da altre minacce informatiche. Oltre a creare e memorizzare dati di accesso univoci e forti, analizza costantemente Internet alla ricerca di dati personali esposti, avvisandoti in caso di fuga di dati prima che i criminali possano sfruttarli. Prendi in mano oggi stesso la tua sicurezza online.
Download per PC
Download per Mac
Download per PC
Download per Mac
/Signal-Have-you-been-hacked-and-what-to-do-about-it-Thumb.jpg)
/How-to-prevent-router-hacking-Thumb.jpg)
Privacy | Segnala vulnerabilità | Contatta la sicurezza | Accordi di licenza | Informativa sulla schiavitù moderna | Cookie | Informativa sull'accessibilità | Non vendere le mie informazioni | Cookie Settings | Tutti i marchi di terze parti appartengono ai rispettivi proprietari.
