Cos’è un attacco brute force e come prevenirlo?

Device hacking the computer through internet
Clicca qui per una rapida sintesi
Cos’è un attacco brute force? Una rapida sintesi

Un attacco brute force o “di forza bruta” consiste nel provare a trovare un nome utente o una password tramite tentativi ed errori. Il software di forza bruta cerca di accedere a un servizio utilizzando migliaia, se non milioni, di combinazioni di caratteri. Alcuni attacchi brute force sono più complessi. Utilizzano vecchie credenziali hackerate come punto di partenza per il tentativo di forza bruta.

Se vuoi proteggerti da attacchi di questo tipo, ecco cosa devi fare:

  1. Usa password lunghe e complesse.
  2. Attiva l’autenticazione a più fattori.
  3. Abbonati a un password manager. Noi ti consigliamo 1Password. È sicuro e conveniente.
Visita 1Password

Per saperne di più su come funzionano gli attacchi brute force e su come proteggerti, leggi il nostro articolo completo qui sotto.

Ti sei mai chiesto come fanno gli hacker a impossessarsi delle password di vittime ignare? Non sempre sfruttano le vulnerabilità di sicurezza di una grande piattaforma. A volte gli basta provare combinazioni di lettere e numeri casuali. Allo stesso modo agisce un attacco di forza bruta.

Un attacco brute force consiste in una serie di tentativi per indovinare le credenziali di accesso di un utente, cioè il suo nome utente e la sua password. Questi tentativi si basano su un algoritmo che utilizza un dizionario o un elenco di possibili credenziali. L’algoritmo prova diverse varianti, finché non trova quella giusta per accedere.

Questa è una spiegazione semplificata: i moderni attacchi brute force sono molto più complessi. Ma come funzionano esattamente? E come proteggersi?

Come funzionano gli attacchi brute force?

Nella sua forma più semplice, un tentativo a forza bruta mira a indovinare una combinazione di nome utente e password. Ecco come procedono di solito gli hacker:

  1. Con i sistemi per generare credenziali, istruiscono gli strumenti di attacco brute force per generare combinazioni di credenziali con parametri predefiniti; ad esempio, una lunghezza di password superiore a sei simboli.
  2. Il software genera un lunghissimo elenco di combinazioni. Parliamo di trilioni di opzioni.
  3. Gli strumenti di attacco brute force tentano di accedere a uno specifico servizio con ogni singola combinazione di credenziali. L’intero processo può richiedere giorni, settimane o mesi, anche con un computer potente.

Se una combinazione di credenziali finisce per sbloccare un account, l’attacco brute force ha avuto successo e l’hacker ha accesso a quell’account.

I diversi tipi di tentativi a forza bruta

La spiegazione precedente descrive un ipotetico tentativo a forza bruta. Nella vita reale, tuttavia, questi attacchi brute force semplici di solito non sono sufficienti per violare un account. Il più delle volte, un attacco brute force riuscito richiede una combinazione di tentativi di tipi diversi. Qui di seguito elenchiamo i diversi tipi di tentativi esistenti.

Infografica che mostra i tipi di tentativi di brute force

1. Attacchi brute force di base

I tentativi di base di violare gli account funzionano con elenchi di credenziali generate automaticamente. Software come Hydra generano combinazioni di credenziali che possono poi essere provate come nome utente e password su diverse piattaforme. Tuttavia, questo tipo di tentativo di forza bruta non è estremamente efficace e la ragione è evidente.

Il numero totale di combinazioni di lettere, numeri e simboli in una stringa di sei caratteri è di migliaia di miliardi. Se a ciò si aggiungono le possibilità di maiuscole e minuscole e il fatto che molte password hanno più di sei caratteri, il problema è comprensibile. Anche per un computer, le combinazioni casuali da provare sono tantissime.

Insomma questi attacchi brute force di base non portano gli hacker molto lontano.

2. Attacchi brute force ibridi

Gli attacchi brute force ibridi generano le credenziali applicando regole di logica. Ad esempio, gli hacker possono stilare un elenco di nomi utente comuni e provare a generare le credenziali solo per la password.

Supponiamo che un hacker voglia violare l’area di amministrazione di un piccolo sito web. Invece di generare simboli per il nome utente, creerà un elenco di opzioni come “admin”, “office” e il nome del proprietario del sito.

Il software tenterà di riempire il campo del nome utente solo con le opzioni di quell’elenco. Per il campo della password, utilizzerà un attacco di forza bruta di base provando tutte le combinazioni necessarie a ottenere una password corretta.

3. Attacchi di forza bruta inversa

Un attacco di forza bruta inversa utilizza una password comune, come “12345” o “password”, e poi genera nomi utente finché non ne trova uno che corrisponda a quella password. Naturalmente, gli hacker possono anche combinare questi attacchi di forza bruta inversa con un approccio ibrido per una maggiore efficienza.

Gli attacchi di forza bruta inversa vengono solitamente eseguiti su applicazioni o siti di cui un hacker possiede già altri dettagli.

4. Attacchi a dizionario

Gli attacchi a dizionario sono una versione più sofisticata dell’attacco di base. Invece di combinare tutti i caratteri, fanno tentativi a rotazione con stringhe e frasi comunemente utilizzate nelle credenziali. Tutti questi schemi comunemente utilizzati vengono raccolti in un dizionario, che viene poi utilizzato per i tentativi di accesso. Ad esempio, i nomi propri per il campo utente e le sequenze numeriche per il campo password.

I tentativi a forza bruta a dizionario hanno un tasso di successo più elevato, ma sono piuttosto difficili da configurare. Più sono le informazioni che gli hacker possono aggiungere al dizionario, più efficace (e pericoloso) diventa l’attacco.

5. Riciclo delle credenziali

Uno dei tentativi brute force più efficaci è il riciclo delle credenziali. Si verifica quando gli hacker iniziano il loro tentativo di brute force con un database di credenziali rubate che hanno ottenuto da qualche altra parte, spesso dal dark web.

Se un hacker acquista un bot da Genesis Market, ad esempio, può scoprire che alcune credenziali non funzionano più. In questo caso, utilizzando la brute force potrà provare nuove password per i nomi utente che già conosce.

6. Attacchi brute force con tabelle arcobaleno

Gli attacchi brute force con tabelle arcobaleno sono un po’ più complicati di un normale attacco a forza bruta. Per capire di che si tratta servono un po’ di nozioni.

I siti web possono memorizzare le nostre password in tre modi:

  • Con il testo in chiaro, il che è piuttosto pericoloso, perché qualsiasi violazione comporta la perdita diretta delle credenziali.
  • Con il testo crittografato, il che è preferibile ma non perfetto, poiché qualsiasi parte del testo può essere decrittografata. Infatti il processo funziona anche all’inverso.
  • Tramite gli hash, che funzionano solo in una direzione. In altri termini, è possibile trasformare in hash una stringa di testo normale, ma non è possibile ritrasformare in testo normale un hash. Questo significa che, in teoria, gli hash sono un metodo infallibile per memorizzare le credenziali.

Purtroppo, nella pratica, gli hash possono essere decifrati ed è su questo che si concentra un attacco brute force con tabella arcobaleno. La maggior parte degli algoritmi di hashing (i programmi che trasformano le password in testo semplice in un hash) sono ottimizzati per funzionare molto velocemente, in modo da poter calcolare il maggior numero possibile di input. Sfruttando questo difetto di progettazione, gli hacker possono provare tutte le password del mondo come hash, finché non trovano quella giusta.

Per farlo in modo efficiente, gli hacker utilizzano una tabella arcobaleno. Le tabelle arcobaleno sono elenchi di hash precalcolati che rappresentano password utilizzate di frequente, come “password”, “1234” o “qwerty”. Se hai una password debole come queste, è molto più probabile che tu diventi vittima di un attacco a forza bruta, anche quando le tue password sono dotate di hash. Tuttavia, richiedendo una conoscenza approfondita della crittografia, questi attacchi non sono così comuni.

Quali sono i pericoli della forza bruta?

Gli attacchi di forza bruta mettono in pericolo la privacy e la sicurezza delle persone in tutto il mondo. Sono più comuni di quanto si possa pensare. Nel 2021, il 23% delle aziende monitorate da Verizon ha segnalato attacchi brute force.

Quando gli hacker eseguono con successo un tentativo di forza bruta, ciò può causare diversi problemi. Le conseguenze per l’utente possono essere:

  • Contenuti spam pubblicati sui suoi profili di social media.
  • Perdita dell’accesso dell’account violato.
  • Violazione di dati e conversazioni private.
  • Diffusione di software dannoso o di truffe attraverso l’elenco dei contatti di quella persona.

Quando gli attacchi di forza bruta prendono di mira gli account degli sviluppatori, le conseguenze sono ancora più gravi. Si verificano tutti gli effetti negativi dell’elenco precedente, moltiplicati per il numero di utenti dell’applicazione o del sito dello sviluppatore.

Come prevenire gli attacchi brute force

Se sei una persona attenta alla privacy e vuoi essere protetto dai tentativi di forza bruta, puoi prendere una serie di precauzioni:

Infografica che mostra esempi di come prevenire gli attacchi brute force

  • Crea password lunghe. Più una password è lunga, più è difficile decifrarla attraverso la forza bruta. Ogni tentativo di brute force basato sulla generazione di credenziali avviene per password di una certa lunghezza. Se la tua password supera i 15-20 caratteri, è improbabile che un attacco ti prenda di mira.
  • Crea password complesse. Se nelle tue password sono presenti diversi tipi di caratteri, tra cui lettere, numeri e simboli, sarà più difficile per gli hacker indovinarle, anche se utilizzano algoritmi.
  • Non utilizzare una sola password per più di un servizio. In questo modo, se gli hacker prendono di mira uno dei tuoi account, non potranno utilizzare le stesse informazioni per accedere ad altri account.
  • Attiva l’autenticazione a più fattori. Si tratta di un ulteriore livello di protezione del tuo account, che richiede una seconda verifica per l’accesso. La verifica avviene, ad esempio, inserendo un codice ricevuto via SMS. Con l’autenticazione a più fattori, anche se un hacker dovesse indovinare la tua password, non potrà accedere direttamente al tuo account.
  • Utilizza un password manager. Se non vuoi preoccuparti di creare password lunghe e complesse per tutti i tuoi account, un gestore di password può occuparsi di questo al posto tuo. Il suo utilizzo ti permetterà di avere password più sicure senza doverle ricordare tutte. Noi ti consigliamo 1Password, un servizio sicuro e di facile utilizzo.

Migliora la tua sicurezza online

Anche con le migliori password, le tue credenziali sono comunque vulnerabili alle violazioni. Campagne di phishing e attacchi man-in-the-middle sono sempre possibili. Se le tue credenziali sono state violate con altri mezzi, possono anche essere utilizzate per tentativi di brute force “credential stuffing” (gli attacchi che sfruttano le credenziali rubate). Ecco perché è importante che ti occupi di migliorare la tua sicurezza online complessiva.

Se vuoi restare al sicuro online, non cliccare su link sconosciuti, diffida delle richieste provenienti da persone sconosciute e stai alla larga da app e siti sospetti.

Oltre a questo, ti consigliamo anche di utilizzare applicazioni specifiche per la sicurezza. In particolare, una buona VPN e un antivirus affidabile ti garantiranno livelli più elevati di sicurezza online. Infatti, proteggendo la tua connessione, ti terranno al sicuro da malware e virus indesiderati.

Cosa fare quando sei bersaglio di un attacco brute force

Può essere difficile capire che sei bersaglio di un attacco di forza bruta mentre sta avvenendo. Un forte indicatore è la ricezione di più email del tuo gestore che ti segnalano tentativi di accesso da te mai effettuati. A parte questo però, è difficile che tu ti accorga dell’attacco finché il tuo account non è stato violato.

Ecco cosa puoi fare nel caso in cui ti trovi a subire un attacco di forza bruta:

  • Contatta la piattaforma su cui è registrato il tuo account. Se sei fortunato, l’assistenza ti aiuterà a bloccare l’account. Se invece l’account è già stato compromesso ed è impossibile recuperarlo, il gestore potrà rimuoverlo affinché nessuno possa spacciarsi per te.
  • Cambia la password. Se hai ancora accesso al tuo account, assicurati di cambiare la password scegliendone una unica e sicura. In questo modo, sarà meno probabile che l’attacco di forza bruta riesca a indovinare le tue credenziali.
  • Se non l’hai ancora fatto, imposta l’autenticazione a più fattori. In questo modo, anche se il tentativo di brute force dovesse avere successo, gli aggressori non avranno accesso al tuo account.

Poiché gli attacchi di forza bruta possono essere utilizzati per colpire praticamente chiunque, non c’è modo di assicurarsi di non essere un bersaglio. Tuttavia, se cambi regolarmente la password e applichi i suggerimenti di cui sopra, potrai rendere improbabile la riuscita di eventuali attacchi brute force sul tuo account.

Protezione dalla forza bruta per gli sviluppatori

Se gestisci un’applicazione o un sito che memorizza informazioni di accesso, dovresti assolutamente adottare alcune misure per proteggere i tuoi utenti dai tentativi di brute force. Ecco le migliori pratiche per limitare i tentativi di brute force sulla tua piattaforma:

  • Limita i tentativi di accesso. In questo modo, gli attacchi brute force richiederanno molto più tempo sul tuo sito. La maggior parte degli hacker viene scoraggiata anche solo dal tentare un attacco di forza bruta su un sito con un numero limitato di tentativi di accesso.
  • Abilita i captcha nella pagina di login. Sappiamo che questo potrebbe infastidire alcuni utenti, ma i captcha (quei pop-up che dicono “prova che non sei un robot”) sono uno dei metodi più affidabili per prevenire gli attacchi brute force.
  • Imposta le password monouso (OTP). Le OTP sono delle password valide una sola volta necessarie per accedere a servizi o verificare transazioni. Vengono utilizzate soprattutto nel settore finanziario. Non costituiscono l’approccio più semplice alla sicurezza di una piattaforma online, ma se tratti dati sensibili (ad esempio, se hai una startup Fintech) dovresti prenderlo in considerazione.

Proteggiti da altre forme di crimine informatico leggendo i nostri articoli.

Attacchi brute force - Domande frequenti

Speriamo che il nostro articolo abbia risposto a tutte le tue domande sugli attacchi brute force. Se non sei ancora soddisfatto, consulta la sezione delle domande frequenti qui sotto.

Un attacco di forza bruta è un tentativo di hacking che utilizza un software specializzato per indovinare le credenziali dell’utente. Il software estrae i caratteri da un dizionario o da un elenco di credenziali e li inserisce in una pagina di login. Per saperne di più su come funziona e su come proteggerti da questo tipo di attacco, consulta il nostro articolo sugli attacchi brute force qui.

Sì, purtroppo gli attacchi brute force funzionano. Nel 2021, il 23% delle aziende intervistate da Verizon ha segnalato tentativi di brute force sui propri sistemi. Detto questo, violare le credenziali degli account tramite gli attacchi brute force richiede molto tempo. Questo li rende un’impresa difficile, soprattutto per i criminali informatici che non dispongono di computer potenti. Per saperne di più sugli attacchi brute force, leggi il nostro articolo “Cos’è un attacco brute force e come prevenirlo”.

Supponiamo che un criminale informatico voglia violare gli account di un piccolo sito di ecommerce, con poche misure di sicurezza. Eseguirà un software come Hydra per generare combinazioni di credenziali. Poi, il software inserirà queste combinazioni nella pagina di login del sito di ecommerce. Non appena il software troverà la combinazione che consente il login (si badi bene, possono volerci settimane o mesi), lo comunicherà al criminale informatico, che avrà così accesso.

Sì, nella maggior parte dei casi gli attacchi di forza bruta sono illegali. Gli hacker etici possono ricorrere agli attacchi brute force per scoprire vulnerabilità. Di solito ciò avviene su piattaforme aziendali interne. Tuttavia, se un attacco di forza bruta tenta di rubare le credenziali di qualcuno, è illegale.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.