Brute force: cosa sono gli attacchi a forza bruta e come difendersi

I cracker utilizzano gli attacchi forza bruta per trovare le password degli account. Scopri cosa puoi fare per impedirglielo.

Ognuno ha i propri ferri del mestiere. I cavalieri Jedi utilizzano la forza a fin di bene… I Cracker, invece, utilizzano la forza bruta per trovare le password degli account online. E siccome le chiavi di accesso dei sistemi online sono migliaia di miliardi, hanno escogitato un metodo che massimizza le probabilità di riuscita, accanendosi sulle password più deboli o comuni.

Stiamo parlando degli attacchi informatici basati sulla brute force, detti anche attacchi forza bruta. In questo articolo vedremo cosa sono, come funzionano e soprattutto come proteggere i nostri account.

Cos’è un attacco forza bruta

Un attacco basato sulla forza bruta cerca di indovinare la password di un account online o remoto provando quante più combinazioni di caratteri possibile. Solitamente, i cracker utilizzano software di brute force come John the Ripper, Hydra e Hashcat, che provano diverse combinazioni di nome utente e password finché non riescono ad accedere al sistema.

Nella pratica, questo metodo è diventato troppo lento e poco efficace, soprattutto grazie ai nuovi standard di sicurezza dei server su cui vengono salvate le password, ma anche grazie a una maggiore attenzione da parte degli utenti finali. Per questo, i cracker utilizzano sempre di più una variante dell’attacco a forza bruta, chiamata attacco a dizionario.

Attacco a dizionario

In questo tipo di attacco, invece di provare tutte le combinazioni di caratteri possibili, il cracker utilizza un elenco di password (o di nomi utente, nel caso di un attacco reverse), chiamato dizionario. Di solito, questo elenco contiene le password più deboli e diffuse, ma può anche trattarsi di un database specifico, comprato nel dark web e messo a disposizione da un cybercriminale che ha precedentemente trafugato le credenziali dal sistema.

In questo caso, si tratta di attacchi a tappeto contro sistemi informatici di grandi aziende, ad esempio piattaforme di social media o banche online, come nel recente furto di credenziali a UniCredit, durante il quale sono stati rubati i dati di oltre 3 milioni di utenti. L’obiettivo di questi attacchi non è un account in particolare, ma il maggior numero possibile di essi.

Quando invece un attacco è mirato, i cracker potrebbero provare inizialmente con un attacco a forza bruta ma, potendo, preferirebbero affidarsi ai metodi dell’ingegneria sociale. Il social engineering applicato al cybercrimine è più efficace rispetto a un attacco a forza bruta, ma richiede notevoli capacità e, per fortuna, non tutti i cracker le possiedono.

Brute force e hashing

Gli esperti di informatica hanno inventato un metodo molto efficace per proteggere le credenziali dagli attacchi a forza bruta: l’hashing delle password. Questo sistema consiste nella traduzione della password in una stringa di caratteri univoca, generata mediante un algoritmo di crittografia. Con il passare del tempo, vengono sviluppati algoritmi di hashing sempre più complessi, che restituiscono stringhe sempre più lunghe e robuste.

Il grande vantaggio dell’hashing è che non è possibile risalire alla password da cui è stato generato, in quanto il processo è irreversibile. Inoltre, per scongiurare il pericolo degli attacchi forza bruta più potenti, è stato aggiunto un ulteriore livello di sicurezza, chiamato salt o pepper.

Questo stratagemma, ormai adottato da tutti i siti web più importanti, consiste nell’aggiunta di un’ulteriore combinazione di caratteri alla password inserita dall’utente. Questa combinazione, detta appunto salt o pepper, viene inserita prima dell’applicazione dell’algoritmo di hashing, per cui la stringa finale prodotta – detta anche digest – è ancora più difficile da crakkare.

Password non sicure

Nonostante l’hashing completo di salt e pepper e qualsiasi altra misura di sicurezza lato server, molti attacchi di forza bruta vanno ancora a segno per un semplice motivo: moltissimi utenti utilizzano ancora password deboli come qwerty, 123456 o password, ma anche combinazioni di nome e cognome, frasi di film o citazioni famose (scopri le peggiori password di tutti i tempi).

Tutti questi termini sono raccolti negli elenchi per attacchi a dizionario, che continuano a mietere vittime, come illustrato dal simpatico Sunny in questo video su come crakkare password con hashing. Nel suo video, Sunny utilizza una piattaforma chiamata Crackstation, in cui basta inserire un hash per trovare la password, ammesso che questa compaia in uno degli elenchi, chiamati tabelle arcobaleno (perché cercano di abbracciare quanti più elementi possibile). La tabella più grande di Crackstation contiene circa 15 miliardi di password.

Inoltre, le ultime versioni dei software per attacchi a forza bruta utilizzano regole e algoritmi per includere negli attacchi le varianti più comuni delle password, ad esempio la sostituzione di lettere con numeri, rendendo gli attacchi ancora più pericolosi.

Come difendersi dalla forza bruta

L’imperativo è utilizzare password robuste e complesse, ma dato che a volte non è sufficiente, ecco alcuni consigli per creare e gestire le password:

• Leggi il nostro articolo sulle password efficaci
• Aggiorna le password periodicamente
• Utilizza passphrase invece di password (quando è possibile)
• Crea una password diversa per ogni account
• Se hai difficoltà a ricordarle, utilizza il gestore di password di Panda Dome
• Imposta l’autenticazione a due fattori, così a un cracker non basterà trovare la password per accedere al tuo account

Conclusioni

Abbiamo visto in cosa consiste un attacco di forza bruta e a dizionario, ma soprattutto abbiamo imparato qualcosa in più sui sistemi di sicurezza che utilizziamo ogni giorno (hashing), spesso senza neanche rendercene conto.

Alla luce di queste nuove informazioni e dei problemi di sicurezza degli account, torniamo a ripetere uno dei nostri mantra: utilizza password efficaci e tutti gli strumenti di sicurezza disponibili. Più livelli di protezione hai, più sarà difficile per un cracker accedere ai tuoi dati.

Buona navigazione e buona protezione dagli attacchi a forza bruta!