Un attacco brute force è uno dei metodi utilizzati dai criminal hacker per ottenere l’accesso non autorizzato ad account legittimi alla ricerca di informazioni e dati da riutilizzare in modo fraudolento.
Conoscerne il funzionamento è di sicuro un modo per proteggere se stessi o la propria azienda da una evenienza non del tutto improbabile, soprattutto in questo periodo in cui si sono particolarmente diffuse diverse declinazioni di lavoro agile (smart working/remote working) con l’ausilio di strumenti di autenticazione per l’accesso remoto alle risorse.
Il processo solitamente automatizzato, anche attraverso l’impiego di bot distribuite per aumentarne la potenza di elaborazione, comincia provando diverse combinazioni di password fino a quando non riesce con successo a guadagnare le informazioni desiderate.
Attacco brute force – il modus operandi
Questa tipologia di attacchi può essere condotta in modi differenti, eccone alcuni:
- Attacchi semplici. In questo caso nota la lunghezza della password, provando ogni potenziale combinazione di numeri, lettere e simboli è possibile trovare la giusta corrispondenza. Ovviamente la velocità del processo di recupero diminuisce con l’aumentare della lunghezza delle password. Si ricordi comunque che rispetto a qualche anno fa un processo di recupero per una password da 8 caratteri, indipendentemente dalla complessità, può richiedere meno di due ore.
- Attacchi con dizionario. Questo attacco utilizza un elenco di parole comuni per generare stringhe combinate a numeri, lettere e simboli per trovare la giusta combinazione. Anche questa soluzione presenta una certa probabilità di successo, se si considerano le statistiche annualmente stilate (fonte Splash Data) riguardo alle (peggiori) password più comunemente utilizzate in rete.
- Attacchi inversi. Il metodo noto come attacco di forza bruta inversa consiste nel provare una password in combinazione con diverse username. Questa tecnica inversa, potrebbe colpire un punto debole molto comune nelle abitudini di gestione delle password.
Attacco brute force – Come mitigare l’esposizione
Le indicazioni che seguono forniscono degli spunti di precauzione minima da adottare per prevenire gli attacchi a forza bruta:
- per i fruitori di servizi online:
- Usare password lunghe, oltre gli 8 caratteri standard. Oggi molti siti e piattaforme online impongono agli utenti password di una certa lunghezza;
- usare combinazioni complesse e diverse per servizi diversi. Le password dovrebbero essere composte da lettere maiuscole e minuscole, numeri e caratteri speciali. Come già detto la complessità della password ritarda i processi di cracking mentre utilizzare password diverse per servizi diversi scongiura la possibilità di peggiorare ulteriormente le conseguenze di una possibile violazione;
- Per gli erogatori di servizi online:
- Limitare il numero di tentativi dei login falliti. Un’azione semplice e molto potente è limitare i tentativi di accesso delle aree riservate, ad esempio riducendo la tolleranza sui tentativi di accesso falliti, bloccando per un certo periodo gli account e richiedendo un reset forzato delle password con tecniche di recupero multi fattore e Captcha.
Conclusioni
Poiché oramai le password da gestire oltre ad essere numerose sono impiegate anche per servizi sensibili come l’home banking, account di lavoro o personali come i socialnetwork, risultano utili allo scopo i password manager, ovvero delle applicazioni software create ad hoc per la conservazione e la gestione delle password (alle quali si può accedere attraverso un’unica parola d’ordine principale).
Inoltre nel caso in cui si avesse il sospetto che la propria password sia stata compromessa, oltre che provvedere a cambiarla il prima possibile, esistono sempre online appositi siti e strumenti che grazie all’analisi dei numerosi casi noti e censiti a livello globale, riescono a stabilire o meno, con un certo grado di affidabilità, l’avvenuta violazione.
Tra le varie possibilità offerte dal web si possono consigliare:
- Have I Been Pwened?; https://haveibeenpwned.com/
- Firefox Monitor; https://monitor.firefox.com/
- Identity Leak Checker; https://sec.hpi.de/ilc/search
- BreachAlarm; https://breachalarm.com/
