Che cos’è un attacco brute force?

Cos’è un attacco brute force?

Quando un hacker utilizza la forza bruta per sferrare un attacco brute force, solitamente lo fa per risalire a una password, a un PIN o a una chiave crittografica. In pratica, l’hacker tenta di accedere a un account o a dei file protetti utilizzando un metodo automatizzato che procede per tentativi fino ad ottenere l’accesso desiderato. Questo metodo, chiamato in inglese trial-and-error (tentativo ed errore), non richiede l’uso di algoritmi complessi ma semplicemente di tempo e potenza di calcolo.

L’attacco forza bruta è, sostanzialmente, l’equivalente di provare tutte le chiavi presenti nel proprio portachiavi fino a trovare quella giusta per aprire la porta di casa. In ambito informatico, la serratura è l’account o il file a cui si vuole accedere, mentre le chiavi sono tutte le password possibili. Ovviamente, tali password sono moltissime e quindi sarebbe impossibile procedere per tentativi manualmente, ma programmi appositi sono in grado di eseguire numerosi tentativi in intervalli di tempo molto brevi.

Come funziona un attacco brute force?

Per eseguire un attacco di forza bruta si può ricorrere a diversi metodi, che possono essere riconducibili alle tipologie elencate di seguito.

Attacco a dizionario

Questo tipo di attacco è più mirato rispetto a un generico brute force attack. Invece di provare tutte le combinazioni di caratteri possibili, infatti, viene utilizzato un elenco di password deboli e molto diffuse, oppure un database specifico ottenuto precedentemente con altri attacchi.

Questo tipo di attacco viene solitamente eseguito verso grandi aziende o piattaforme con molti utenti: l’obiettivo, infatti, non è un account specifico ma riuscire a ottenere l’accesso al maggior numero possibile di account, in modo da poter poi ottenere altre informazioni personali.

Riciclo delle credenziali

Quando un hacker riesce a ottenere delle coppie di nomi utente e password utilizzate per un servizio specifico, spesso prova poi a usare queste stesse coppie di credenziali su altre piattaforme. Questo è il motivo per cui si sconsiglia sempre di impiegare la stessa password per account diversi: ci si espone ad attacchi di questo tipo.

Attacco di forza bruta inverso

Solitamente gli attacchi di forza bruta hanno come obiettivo quello di individuare delle password; l’attacco inverso, invece, parte da password conosciute per ottenere i nomi utente. In pratica un hacker, partendo da una password ottenuta precedentemente, prova a inserire tutti i nomi utente possibili cercando di arrivare a quello corrispondente alla password nota.

Come si esegue un attacco di forza bruta

Come accennato, gli attacchi brute force si servono di algoritmi particolari e di programmi che permettono di automatizzare i tentativi. A tale proposito, i software più utilizzati sono tre.

• Hydra. Questo strumento è probabilmente il più diffuso ed è utilizzato in particolare quando si ha a che fare con un servizio di autenticazione remota.
• Hashcat. È disponibile gratuitamente per Linux, Windows e MacOS ed è molto utilizzato per recuperare password. Si tratta di un software molto potente, anche in virtù della sua capacità di sfruttare la potenza di calcolo non solo della CPU ma anche della GPU (processore grafico), moltiplicando così la sua efficacia.
• JTR. Anche questo software è disponibile per Linux, Windows e MacOS, ma la sua versione più avanzata e ricca di funzionalità è a pagamento. JTR è in grado di eseguire attacchi a dizionario e di rilevare il tipo di crittografia usato dal sistema a cui si vuole accedere.

Come prevenire un attacco forza bruta

Per proteggersi dagli attacchi brute force si può ricorrere a diverse strategie, che andrebbero affiancate una all’altra per avere una protezione a 360 gradi.

• Utilizzare solo password complesse. Gli algoritmi per gli attacchi forza bruta solitamente iniziano tentando con password semplici e diffuse, aumentando man mano la complessità delle combinazioni di caratteri. Usare una password breve e poco sicura implica perciò che l’algoritmo potrebbe arrivare a individuarla in poco tempo, mentre per password più complesse il tempo impiegato è maggiore. Bisogna quindi avere l’accortezza di scegliere sempre password sufficientemente lunghe e che contengono cifre e caratteri speciali, per aumentare le possibilità che l’attacco non vada a buon fine.
• Usare password uniche. Come accennato in precedenza, a volte gli attacchi brute force utilizzano dei database contenenti password già note, quindi è fondamentale non utilizzare la stessa password per più servizi diversi. Questo aspetto è cruciale e aiuta a proteggersi anche da molti altri tipi di attacchi, garantendo la sicurezza della propria rete locale e dei dati personali.
• Usare l’autenticazione a due fattori. Questo tipo di autenticazione richiede un secondo passaggio oltre all’inserimento di nome utente e password, che consiste solitamente nell’invio di un messaggio con un codice temporaneo o l’uso di apposite applicazioni che generano codici specifici. Utilizzando l’autenticazione a più fattori, un hacker non riuscirà comunque a ottenere l’accesso a un account anche se dovesse riuscire a individuare la password corretta.
• Usare un password manager. Poiché è importante usare password complesse e uniche, memorizzarle tutte diventa praticamente impossibile. Se si utilizzano diversi account regolarmente, diventa difficile ricordarsi anche solo quelle più utilizzate. Per questo è fondamentale usare un password manager che permetta di creare, salvare e gestire tutte le proprie password senza doversi mai preoccupare di dimenticarsene una.
• Usare una VPN. I servizi di VPN migliori permettono di riconoscere gli attacchi brute force in corso. Nel caso la VPN si accorga di un attacco, è in grado di mettere in atto immediatamente delle misure di sicurezza volte a interrompere l’attività illecita e prevenire nuovi tentativi. Questa funzionalità può quindi garantire una navigazione sicura in ogni momento.