Un attacco di forza bruta è un metodo di prova ed errore utilizzato dai programmi applicativi per decodificare dati crittografati come password o chiavi DES (Data Encryption Standard), attraverso uno sforzo esaustivo (usando la forza bruta) piuttosto che impiegare strategie intellettuali. Proprio come un criminale potrebbe entrare, o “crack” una cassaforte provando molte combinazioni possibili, una forza bruta che attacca l’applicazione procede attraverso tutte le possibili combinazioni di caratteri legali in sequenza.,
Un hacker può utilizzare un attacco di forza bruta per ottenere l’accesso a un sito web e un account, quindi rubare dati, chiudere il sito o eseguire un altro tipo di attacco. La forza bruta è considerata un approccio infallibile, sebbene dispendioso in termini di tempo.
I cracker sono talvolta utilizzati in un’organizzazione per testare la sicurezza della rete, sebbene il loro uso più comune sia per attacchi dannosi. Alcune varianti, come L0phtcrack di L0pht Heavy Industries, iniziano facendo ipotesi, basate sulla conoscenza di pratiche comuni o centrate sull’organizzazione e quindi applicano la forza bruta per rompere il resto dei dati., L0phtcrack utilizza la forza bruta per attaccare le password di Windows NT da una workstation. PC Magazine ha riferito che un amministratore di sistema che ha utilizzato il programma da un terminale Windows 95 senza privilegi amministrativi, è stato in grado di scoprire l ‘ 85% delle password di Office entro venti minuti.
Come funzionano gli attacchi di forza bruta
Gli attacchi di forza bruta useranno comunemente strumenti automatici per indovinare varie combinazioni di nomi utente e password fino a trovare l’input corretto. Più lunga è la password, più tempo ci vorrà in genere per trovare l’input corretto.,
Esistono diversi tipi di attacchi di forza bruta. Ad esempio, il riciclaggio delle credenziali è una forma di attacchi di forza bruta in cui vengono utilizzati nomi utente e password di attacchi precedenti. Gli attacchi di forza bruta inversa iniziano con l’attacco che ha la password come valore noto, ma non il nome utente. L’hacker seguirà quindi lo stesso schema di un normale attacco di forza bruta per trovare il nome utente corretto. Un attacco dizionario è un altro tipo di attacco di forza bruta in cui tutte le parole in un dizionario sono testati per trovare una password. Gli attacchi dizionario possono anche aumentare le parole con numeri, caratteri e altro ancora., Ulteriori forme di attacchi di forza bruta potrebbero cercare di utilizzare le password più comunemente utilizzate, come “password”, “12345678” (o qualsiasi sequenza numerica come questa) e “qwerty.”
Come prevenire gli attacchi di forza bruta
I modi comuni per prevenire il cracking della forza bruta includono:
- Aggiunta alla complessità della password: questo renderà qualsiasi processo di indovinare una password molto più lungo. Alcuni siti web, ad esempio, richiedono password di 8-16 caratteri, con almeno una lettera e un numero con caratteri speciali (come “.,” ), oltre a non consentire a un utente di avere il proprio nome, nome utente o ID nella propria password.
- Tentativi di accesso: l’aggiunta di tentativi di accesso bloccherà un utente per un periodo di tempo specificato che supera una quantità specificata di tentativi di immissione di password/nomi utente.
- s: queste sono le caselle con mostrerà una casella con testo deformato e chiede all’utente quale sia il testo nella casella. Ciò impedisce ai bot di eseguire gli script automatici che appaiono negli attacchi di forza bruta, pur essendo facile per un essere umano passare.,
- Autenticazione a due fattori( un tipo di autenticazione a più fattori): questo aggiunge un livello di sicurezza alla forma primaria di autenticazione. La sicurezza a due fattori richiede due forme di autenticazione (ad esempio, per accedere a un nuovo dispositivo Apple, gli utenti devono inserire il proprio ID Apple insieme a un codice a sei cifre visualizzato su un altro dispositivo precedentemente contrassegnato come attendibile).
Un buon modo per proteggersi dagli attacchi di forza bruta è usare tutte o una combinazione delle strategie di cui sopra.