Gli attacchi a dizionario sono un metodo comune utilizzato dagli hacker per provare a scoprire password e accedere agli account online.
Sebbene questi attacchi possano essere efficaci contro persone con una scarsa sicurezza dell’account, è estremamente facile proteggerti utilizzando password sicure e l’autenticazione a due fattori. Questo articolo spiega come funzionano gli attacchi a dizionario e come prevenirli.
Definizione di attacco a dizionario
Un attacco a dizionario è un tipo di attacco a forza bruta in cui un malintenzionato utilizza un programma per cercare di indovinare la tua password testando una vasta selezione di parole e frasi, una per una. Il dizionario nel termine è letterale; l’attaccante passa in rassegna tutte le parole nel dizionario, oltre alle password comunemente usate o strutture di password (come nomi e date).
Questo significa che se hai protetto il tuo account con password123 o qualcosa di simile, è probabile che un attaccante l’abbia inserito nel suo dizionario. Lo stesso vale per le password trapelate in una violazione, poiché molte persone riutilizzano le loro password più volte, sia a causa della password fatigue o semplicemente per mancanza di consapevolezza.
Molte persone cercano di migliorare la sicurezza delle loro password usando numeri o simboli al posto delle lettere, quindi P@55word o qualcosa di simile. Tuttavia, gli attaccanti hanno capito questa tattica e sostituiranno lettere maiuscole, numeri e simboli in frasi comunemente usate.
Un esempio di attacco a dizionario di successo è stato l’incidente di sicurezza di Dropbox del 2012, in cui un attaccante ha ottenuto la password di un dipendente Dropbox, l’ha aggiunta al suo dizionario ed è stato poi in grado di accedere ai sistemi di Dropbox. Ben 68 milioni di credenziali degli utenti sono state divulgate in questo attacco, rendendolo uno dei peggiori nella storia del cloud.
Protezione dagli attacchi con dizionario
Per quanto seri possano essere gli attacchi con dizionario, sono tra i più facili da evitare. Per prima cosa, i servizi online hanno una certa responsabilità qui, dato che dovrebbero avere sistemi che bloccano un utente che compie troppi tentativi di accesso. Poiché gli attacchi con dizionario richiedono molti tentativi, questo è un buon modo per sventarli.
Ma puoi rendere praticamente impossibile un attacco con dizionario creando password forti per tutti i tuoi account (e assicurati che ogni password sia unica per maggiore sicurezza). Qualsiasi password che usi più di una volta ti lascia vulnerabile agli attacchi, come ha scoperto quel dipendente di Dropbox.
Per creare una password forte, ti servono due cose: la password deve essere lunga almeno 16 caratteri e casuale. Casuale significa esattamente questo; non puoi usare una parola normale e poi sostituire le lettere con numeri. Gli attaccanti lo sanno bene e riescono a superare facilmente questa strategia.
Per creare password casuali, dovresti usare un generatore di password, che farà un lavoro migliore di qualsiasi essere umano. Ovviamente, rimane il problema di ricordare questa password casuale. È qui che entrano in gioco i gestori di password.
Come Proton può aiutare a combattere gli attacchi a dizionario?
Un gestore di password è un programma che genera, memorizza e compila automaticamente le tue password mentre navighi sul web. Sono l’unico modo pratico per mantenere l’uso di password casuali. Sono anche un enorme miglioramento per la tua qualità di vita online poiché compilare automaticamente le password con un solo clic è meraviglioso se prima le digitavi manualmente.
Tuttavia, da Proton abbiamo sentito che la maggior parte dei gestori di password sul mercato lasciava molto a desiderare, motivo per cui abbiamo sviluppato Proton Pass. Offre le funzionalità di base come generare e salvare password, ma poi va molto oltre.
Per prima cosa, Proton Pass offre crittografia end-to-end, che cripta le tue password in ogni momento. Anche se il traffico verso i nostri server fosse in qualche modo intercettato, gli attaccanti otterrebbero solo dati criptati, niente che possano usare.
Offriamo anche Pass Monitor, uno strumento che ti permette di monitorare quali delle tue password sono deboli e quindi più suscettibili a un attacco a dizionario. Ti avvisa anche quando uno dei tuoi indirizzi email è stato esposto in una violazione dei dati, dandoti la possibilità di cambiare la password prima che venga effettuato un attacco.
Quando usi Proton Pass per generare una password, hai anche molte più opzioni che migliorano l’entropia della password, ossia quanto è casuale. Inoltre, puoi scegliere tra password forti e casuali o lunghe passphrase, che sono molto più facili da ricordare, perfette per proteggere l’accesso al tuo gestore di password.
Offriamo anche passkey, una tecnologia all’avanguardia che permette l’autenticazione senza password, rendendoti immune agli attacchi a dizionario. Pochi gestori di password offrono questa funzionalità e nessuno è flessibile come Proton Pass, permettendoti di usare passkey su qualsiasi sistema che le supporta.
Possiamo offrire queste funzionalità avanzate e molto altro perché siamo interamente finanziati dagli abbonamenti, senza capitale di rischio e senza pubblicità, e quindi contiamo su di te per rimanere in attività. Di conseguenza, daremo sempre la priorità a te, la nostra community. Se ti sembra qualcosa a cui vorresti partecipare, unisciti a Proton Pass oggi stesso.
