Cos'è un attacco di forza bruta?
Un attacco di forza bruta è un tipo di attacco informatico che utilizza un software per "indovinare" le credenziali. Attraverso tentativi ed errori, i malintenzionati inseriscono parole del dizionario, frasi, password comunemente utilizzate o combinazioni specifiche di lettere e numeri finché non trovano una corrispondenza. Gli attacchi di forza bruta sono sorprendentemente efficaci dato che il 56% delle persone riutilizza le password. Riutilizzare le password è una pratica pericolosa e molto diffusa, in quanto è sufficiente che una password riutilizzata venga compromessa per rendere vulnerabile un intero sistema o gruppo di credenziali.
Tipi di attacco di forza bruta
Attacchi di forza bruta semplici
Gli attacchi di forza bruta semplici procedono per tentativi ed errori provando varie combinazioni per indovinare le credenziali di accesso. L'aggressore utilizza un computer molto potente per provare ogni combinazione alfanumerica possibile. Sebbene ciò possa sembrare inefficace, alcuni computer possono elaborare miliardi di combinazioni insieme.
Attacchi a dizionario
Gli attacchi a dizionario fanno leva su semplici parole o espressioni prese dal dizionario per scovare le credenziali degli utenti. È consigliabile non utilizzare parole o frasi facilmente riscontrabili in un dizionario perché un attacco di forza bruta di tipo "a dizionario" potrebbe prenderle e usarle per trovare la password.
Attacchi di forza bruta ibridi
Avvalendosi della logica esterna, un malintenzionato utilizza un software per indovinare quali password avranno più successo e poi ricorre alla forza bruta per applicare ogni combinazione.
Attacchi di forza bruta al contrario
Questo metodo dipende dalle password più conosciute. È facile trovare online elenchi di password molto utilizzate. Eccone un elenco di 10.000. Un attacco di forza bruta inversa utilizza un elenco come questo per inserire queste password comuni in più account, sperando di trovare una corrispondenza.
Furto di credenziali
Il furto di credenziali è uno dei metodi di forza bruta più efficaci. Gli elenchi di password già violate possono essere acquistati sul dark Web e utilizzati dai criminali informatici per "imbottire" di credenziali decine di siti web e trovare una possibile corrispondenza per accedere agli account.
Spesso gli utenti non cambiano le password su tutti i loro account, anche se questi sono stati precedentemente violati.
Come prevenire gli attacchi di forza bruta
Fare in modo che le password siano complesse e univoche
Assicurandovi di utilizzare password complesse e univoche per tutti i vostri account, renderete più difficile per un criminale informatico indovinare le vostre password. Cercate di utilizzare sempre password complesse che includano lettere, numeri e simboli e che siano lunghe almeno 16 caratteri. Più una password è lunga e complessa, meglio è.
Potete usare un generatore di password per aiutarvi a generare password complesse e univoche per tutti i vostri account.
Rimuovere gli account inattivi
Quando un dipendente lascia l'azienda, è importante rimuovere completamente il suo account per evitare accessi non autorizzati. Anche se l'account di un dipendente è stato disattivato, continua a rappresentare un potenziale punto di accesso per i criminali informatici. Gli account inattivi devono essere chiusi il prima possibile e le loro credenziali cancellate dal sistema.
Limitare i tentativi di accesso
Gli attacchi di forza bruta dipendono da più tentativi di accesso. L'hacking di forza bruta è molto meno efficace se può effettuare solo un numero limitato di tentativi. Tre tentativi di accesso sono un buon punto di partenza, un numero sufficiente per lasciare spazio a chi ha davvero sbagliato i dati di accesso ma abbastanza basso per bloccare i potenziali malintenzionati prima che indovinino la password. Dopo tre tentativi falliti, bloccate completamente l'account e richiedete a un amministratore di sistema di ripristinare l'accesso dopo aver verificato l'identità dell'utente.
Abilitare l'AMF sugli account
La Autenticazione multifattoriale (AMF) può essere la vostra "ancora di salvezza" in un attacco di forza bruta. Quando una password viene utilizzata da un dispositivo sconosciuto o non riconosciuto, si attiva un'ulteriore fase di autenticazione. Può trattarsi di un link di verifica tramite SMS o e-mail, di una sfida biometrica o di un altro metodo. Questo aggiunge un ulteriore livello di protezione ai vostri account.
Rallentare gli accessi
È anche possibile rallentare i tentativi di accesso richiedendo un tempo di attesa tra un accesso non riuscito e il successivo. Insieme al limite del numero di accessi, questo metodo può fermare un attacco di forza bruta dopo tre tentativi e limitare la frequenza di inserimento delle informazioni da parte dei criminali. In questo modo anche l'amministratore riceverà la segnalazione di attività sospetta e potrà intervenire.
Utilizzare strumenti automatizzati
È possibile prevenire gli attacchi di forza bruta con sofisticati strumenti automatici. Le aziende stanno già affrontando gli attacchi di forza bruta e altre minacce malware utilizzando questi strumenti. Man mano che il rilevamento delle minacce diventa più sofisticato, si utilizza sempre più spesso la tecnologia IA per individuare, prevenire e rimuovere le minacce prima che possano causare danni.
La protezione dei bot può aiutare a monitorare il traffico Web alla ricerca di attività sospette e tenere fuori gli utenti quando si sospetta un attacco. I bot possono anche prevedere le attività sospette quali un numero elevato di tentativi di accesso e avvisano la vittima prima che l'attacco sia completato.
Gli attacchi di forza bruta sono semplici ma spesso efficaci, soprattutto se l'individuo o l'azienda non dispone delle giuste protezioni.
Non fatevi condizionare dagli attacchi di forza bruta con un gestore di password
I gestori di password come Keeper® possono aiutare a prevenire gli attacchi di forza bruta, aiutando gli utenti a generare password complesse e a memorizzarle in modo sicuro. Gli utenti non dovranno più fare affidamento su se stessi per creare le proprie password, il che significa che non si ricorrerà più a password deboli o riutilizzate per gli account online.
I gestori di password aiutano sia i singoli privati sia le aziende a proteggere i loro account online: verificatelo voi stessi iniziando una prova gratuita.