Gli attacchi informatici sono una minaccia costante per gli utenti e le aziende di tutto il mondo. Sebbene rispetto al passato abbiamo acquisito maggiore dimestichezza con gli strumenti informatici, il livello di attenzione deve rimanere alto..
Anzi, l’eccessiva fiducia nelle nostre capacità o la sottovalutazione dei rischi, può esporci a pericoli gravi per la sicurezza dei nostri dati e non solo. Ecco perché diventa importante conoscere i principali cyberattack oggi diffusi, comprendere come difendersi da un attacco hacker ma soprattutto come prevenirlo.
Oggi parleremo del brute-force attack, un altro pericoloso attacco informatico che ha lo scopo di entrare in possesso delle nostre password.
Che cosa è un attacco brute-force?
L’attacco brute-force è un metodo di hacking volto a decifrare password, credenziali di accesso e chiavi crittografiche. È una tattica semplice ma affidabile, finalizzata ad ottenere l’accesso non autorizzato ai singoli account, ai sistemi e alle reti delle organizzazioni.
L’hacker prova vari nomi utente e password, spesso utilizzando software che generano un’ampia gamma di combinazioni, fino a quando non vengono individuate le informazioni di accesso corrette.
Il nome “brute-force” deriva dalla considerazione che questi hacker utilizzano tentativi eccessivamente energici di accedere agli account degli utenti. Nonostante sia un vecchio metodo di attacco informatico, questa tipologia di attacco è ancora molto diffusa nel mondo hacker.
Esistono varie tipologie di attacchi brute-force. I più semplici attacchi sono quelli nei quali gli hacker manualmente provano ad indovinare la password, magari inserendo banali combinazioni come “123”, purtroppo ancora oggi molto utilizzate dagli utenti.
Quando una password viene scoperta, gli hacker tentano di fare il colpo grosso verificando se la stessa combinazione di caratteri consente l’accesso anche ad altri siti a cui l’utente potrebbe essere iscritto. Del resto, un’altra cattiva abitudine degli utenti è quella di adoperare la stessa password per diversi siti web, tra cui piattaforme di social media o digital wallet.
Quali sono i punti di forza e le debolezze degli attacchi brute-force?
Nel paragrafo precedente, abbiamo già fatto un piccolo accenno ai punti di forza degli attacchi brute-force. Purtroppo, spesso siamo noi utenti, con le nostre scorrette abitudini, a servire su un piatto d’argento l’accesso ai nostri dati personali.
È chiaro che ricordarsi a memoria le password di centinaia di siti web non è affatto semplice. Spesso, cerchiamo di aggirare il problema memorizzando su più dispositivi le credenziali. In questo modo, ogni volta che dobbiamo accedere ad un sito possiamo automatizzare la procedura, evitando di inserire le credenziali.
Questo comportamento, però, ci espone a dei rischi. Qualora l’account utilizzato per lo storage delle password venisse bucato, gli hacker avrebbero facilmente accesso ad un’ampia gamma di siti web, con pericoli e conseguenze che possiamo immaginare senza troppa fantasia.
C’è, però, da dire che non sempre un attacco brute-force ha successo. Molto dipende anche dal metodo di attacco utilizzato. Gli attacchi manuali, quelli che per intenderci non fanno utilizzo di software, difficilmente possono andare a segno. Ciò può accadere solo se si utilizzano password particolarmente deboli e facili da indovinare. Inoltre, se gli utenti rinforzano la sicurezza dei propri account e dispositivi con gli strumenti che oggi la tecnologia mette a disposizione, diventa molto più difficile per gli hacker portare a buon fine l’attacco brute-force.
Come proteggersi da questi attacchi
Per proteggersi dagli attacchi brute-force e rendere durissima la vita agli hacker è possibile seguire alcune best practices:
- Aumentare la complessità della password: una password composta da un numero maggiore di carattere è meno facilmente decifrabile. Una regola empirica di base prevede che le password debbano essere lunghe più di 10 caratteri e includere lettere maiuscole e minuscole, simboli e numeri. Ciò aumenta notevolmente la difficoltà e il tempo necessario per decifrare una password, passando da poche ore a diversi anni, a meno che un hacker non abbia un supercomputer a portata di mano;
- Limitare i tentativi di accesso: una buona difesa contro questi attacchi consiste nel bloccare gli utenti dopo alcuni tentativi falliti, annullando così l’attacco in corso;
- Implementare Captcha: si tratta di un sistema che permette di verificare che sia un essere umano ad agire sui siti Web, contribuendo a fermare gli attacchi brute-force in corso. Le opzioni CAPTCHA più utilizzate comprendono la digitazione di immagini di testo che appaiono sullo schermo, il controllo di diverse caselle di immagini e l’identificazione degli oggetti mostrati sul display;
- Utilizzare l’autenticazione a più fattori: questo sistema aggiunge un secondo livello di sicurezza a ogni tentativo di accesso, richiedendo necessariamente l’intervento umano.
