ProtonBlog(new window)
Iscriviti con RSS
what is a brute force attack

Cos’è un attacco brute force?

Condividi questa pagina

Nel contesto della cybersecurity(new window), un termine che spesso si incontra è attacco brute force. Un attacco brute force è qualsiasi attacco che non si basa sulla raffinatezza, ma utilizza la pura potenza di calcolo per violare la sicurezza o addirittura la crittografia(new window) sottostante.

In questo articolo esaminiamo cosa sono gli attacchi brute force, come funzionano e come puoi prevenirli.

Cosa significa attacco brute force?

L’equivalente nel mondo reale di un attacco brute force è scardinare una serratura non con un grimaldello, ma piuttosto con un piede di porco. È rumoroso, disordinato e poco elegante, ma fa il suo lavoro.

Un buon esempio di come questo principio si manifesti digitalmente è quello che viene chiamato un attacco dizionario — utilizzato nell’incidente di sicurezza di Dropbox del 2012, noto per la violazione delle credenziali di 68 milioni di utenti, come riportato nel caso di sicurezza Dropbox(new window). In questo scenario, un attaccante proverà a indovinare una password per un account online facendo provare a un programma migliaia, se non milioni, di parole comuni nella speranza di avere fortuna e trovare quella giusta.

Le supposizioni si basano su password note e loro derivati, non solo parole del dizionario, e ogni tentativo viene di solito effettuato uno per uno. Basta un sistema abbastanza potente da ripetere il calcolo, ancora e ancora, finché il programma non trova la giusta combinazione di simboli che compongono la password per quell’account.

Va detto che usare un piede di porco digitale in questo modo non è solo intensivo in termini di risorse, ma richiede anche molto tempo. Anche se inserire possibili password può essere fatto velocemente, in pochi millisecondi, il loro enorme numero fa sì che questi millisecondi si accumulino. Di conseguenza, i proprietari di un sito spesso possono bloccare un attacco prima che provochi danni reali — ma non sempre.

Esempi di attacchi brute force

Gli attacchi dizionario sono solo un tipo di attacco brute force, proprio come i piedi di porco sono solo un modo per forzare una serratura. Di seguito alcuni dei più comuni.

Riempimento delle credenziali

Gli attacchi di riempimento delle credenziali(new window) sono un altro tipo molto basilare. Piuttosto che indovinare le informazioni di accesso delle vittime, prendono credenziali note — di solito rese pubbliche in una violazione — e poi le provano su diversi siti in grandi numeri (riempiendoli).

Poiché molte persone riutilizzano il loro nome utente e password — risultato della stanchezza delle password(new window) tanto quanto altro — ciò rende il riempimento delle credenziali una strategia di attacco di successo per qualsiasi cybercriminale che cerca di fare soldi facilmente.

Attacchi di password spraying

Gli attacchi di password spraying, noti anche come attacchi di forza bruta inversa, seguono un approccio simile. In questo caso, gli aggressori hanno una lista di nomi utente e poi procedono lungo questa lista utilizzando password semplici, sperando di avere fortuna.

Questo tipo è particolarmente efficace contro organizzazioni con sicurezza trascurata. La maggior parte delle aziende ha un modo stabilito per generare nomi utente(new window) (combinando nome e cognome, ad esempio), e gli amministratori non sempre obbligano gli utenti a cambiare la password predefinita (che spesso è qualcosa tipo password123). Se anche un solo utente non ha cambiato la propria password, gli aggressori ottengono facilmente accesso.

Prevenzione degli attacchi di forza bruta

Se hai occhio, avrai notato che tutti i tipi di attacchi di forza bruta sopra menzionati hanno qualcosa in comune: tutti prendono di mira password facilmente indovinabili. Pertanto, se proteggi la tua password, sei per lo più al sicuro da questi tipi di tattiche di forza bruta.

Ad esempio, gli attacchi dizionario possono essere contrastati utilizzando password lunghe e casuali(new window). Queste metteranno in difficoltà qualsiasi programma di generazione password poiché non possono prevedere quale sarà il simbolo successivo. Più le rendi lunghe, più tempo impiegheranno a essere violate, arrivando a miliardi di anni con una password di 16 caratteri.

Gli attacchi di credential stuffing possono essere prevenuti utilizzando sempre password casuali e mai la stessa password due volte. Anche se una violazione espone una delle tue password, saprai che tutti i tuoi altri account sono al sicuro.

Utilizzando queste due tattiche impedirai anche gli attacchi di password spraying poiché questi si basano sul riutilizzo di password deboli da parte delle organizzazioni. Utilizzando sempre password robuste(new window) in combinazione con l’autenticazione a due fattori(new window) (2FA), che richiede l’uso di un secondo dispositivo per provare la tua identità, hai reso inutile qualsiasi tentativo di password spraying.

Come prevenire gli attacchi di forza bruta con Proton

Tutti i consigli sopra sono parte di una buona politica delle password(new window), sia che tu sia un’azienda o un individuo. Tuttavia, per implementarli, avrai bisogno di un gestore di password(new window), un programma che può generare e memorizzare password per te, e persino compilarle automaticamente mentre navighi. Sono un modo non solo per migliorare la tua sicurezza online, ma anche la qualità della vita.

Un gestore di password può essere molto di più, ed è per questo che abbiamo sviluppato Proton Pass. Il nostro gestore di password ha tutte le funzionalità di base di cui hai bisogno per proteggerti dagli attacchi di forza bruta — incluso il supporto integrato per 2FA che rende questa caratteristica essenziale molto meno complicata — ma offre anche alcuni extra unici che ti aiuteranno a costruire una identità digitale(new window) che ti terrà al sicuro dagli attacchi.

Ad esempio, quando crei account puoi utilizzare gli alias hide-my-email, che puntano al tuo vero indirizzo email senza rivelarlo. Questi rendono molto difficile per la maggior parte degli attacchi di forza bruta prenderti di mira poiché non avranno un nome utente che è stato utilizzato su altri account. Puoi anche scegliere di utilizzare i passkey(new window) sui siti che supportano questo metodo di autenticazione all’avanguardia. Utilizzandoli, non c’è password da indovinare, rendendo gli attacchi di forza bruta inutili.

Oltre a questi, abbiamo anche alcune funzionalità che migliorano la tua sicurezza in modi più generali. Il miglior esempio è la crittografia end-to-end(new window), che assicura che le tue password siano note solo a te. Nessuno, neanche noi, sa cosa stai memorizzando con noi. Questo è ottimo per la sicurezza, ma promuove anche una maggiore privacy.

Questa combinazione di sicurezza e privacy è ciò che rende Proton leader in questo settore. Essendo totalmente finanziati dalle sottoscrizioni — nessun capitale di rischio, nessun inserzionista — contiamo su di te per mantenere attiva la nostra attività. Di conseguenza, metteremo sempre te, la nostra comunità, al primo posto. Se ti piace l’idea di far parte di questo, unisciti a Proton Pass oggi stesso.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

Una comunicazione sicura e fluida è il fondamento di ogni azienda. Con sempre più organizzazioni che proteggono i loro dati con Proton, abbiamo notevolmente ampliato il nostro ecosistema con nuovi prodotti e servizi, dal nostro gestore di password al
La Sezione 702 del Foreign Intelligence Surveillance Act è diventata famigerata come giustificazione legale che consente ad agenzie federali come la NSA, la CIA e l’FBI di effettuare intercettazioni senza mandato, raccogliendo i dati di centinaia di
In risposta al crescente numero di violazioni dei dati, Proton Mail offre una funzionalità agli abbonati a pagamento chiamata Monitoraggio del Dark Web. Il nostro sistema verifica se le tue credenziali o altri dati sono stati diffusi su mercati illeg
Il tuo indirizzo email è la tua identità online, e lo condividi ogni volta che crei un nuovo account per un servizio online. Sebbene ciò offra comodità, lascia anche la tua identità esposta se gli hacker riescono a violare i servizi che utilizzi. Le
proton pass f-droid
La nostra missione in Proton è contribuire a creare un internet che protegga la tua privacy di default, assicuri i tuoi dati e ti dia la libertà di scelta. Oggi facciamo un altro passo in questa direzione con il lancio del nostro gestore di password
chrome password manager
Probabilmente sai che dovresti conservare e gestire le tue password in modo sicuro. Tuttavia, anche se utilizzi un gestore di password, c’è la possibilità che quello che stai usando non sia sicuro come potrebbe essere. In questo articolo esaminiamo l