Una password viene compromessa quando viene divulgata in una violazione dei dati e resa disponibile sul dark web, consentendo ad altri di ottenere l'accesso non autorizzato
Alcuni dei tipi più comuni di attacchi alle password includono il password cracking, il password spraying, gli attacchi con dizionario, lo stuffing delle credenziali, gli attacchi di forza bruta e gli attacchi al tavolo arcobaleno. Migliori saranno le tue abitudini in materia di password, meno sarai suscettibile agli attacchi alle password. Il report sulla gestione delle password di Keeper ha rilevato che solo il 25% degli intervistati utilizza password forti e uniche per ogni account, il che vuol dire che il 75% degli intervistati mette i propri account a rischio di essere compromessi a causa di password deboli.
Continua a leggere per scoprire i sei tipi di attacchi alle password più comuni, perché sono pericolosi e cosa puoi fare per proteggerti dagli attacchi alle password.
Cracking delle password
Il cracking delle password avviene quando i cybercriminali utilizzano programmi e strumenti per ottenere l’accesso non autorizzato agli account online. Sebbene ci siano diversi tipi di tecniche di cracking delle password, tutte hanno l’obiettivo comune di compromettere gli account utente per scopi dannosi. Poiché l’intelligenza artificiale (IA) è diventata più avanzata, i cybercriminali stanno utilizzando l’IA a loro vantaggio perché gli strumenti di IA rendono più facile decifrare le password. Con l’IA, la velocità con cui i cybercriminali possono decifrare le password è aumentata notevolmente.
Attacco di forza bruta
Un attacco di forza bruta avviene quando i cybercriminali utilizzano un software nel tentativo di indovinare le credenziali di accesso attraverso tentativi ed errori. Il software di forza bruta funziona inserendo diverse combinazioni di credenziali fino a quando non è in grado di trovare una corrispondenza. Sebbene possa sembrare inefficiente cercare di indovinare le password attraverso tentativi, il software utilizzato dai cybercriminali può elaborare trilioni di combinazioni di password in un breve lasso di tempo.
Attacco di password spray
Il password spraying, chiamato anche attacco di password spray, avviene quando i cybercriminali utilizzano un elenco di password comunemente utilizzate per tentare di accedere a più account su un dominio. Questi elenchi contengono password deboli che molte persone utilizzano, come 123456 o password. Con uno strumento di password spraying, i cybercriminali possono inserire questi elenchi e utilizzare lo strumento per decifrare più password contemporaneamente.
Attacco tramite dizionario
Un attacco tramite dizionario è un attacco alle password che utilizza parole e frasi comuni del dizionario per compromettere gli account. In un attacco a dizionario, i cybercriminali utilizzano un elenco di parole che contiene parole e frasi comunemente utilizzate per le password. Utilizzano quindi un programma di cracking delle password per inserire le combinazioni di parole in diversi account utente nel tentativo di decifrare le password.
Stuffing delle credenziali
Lo stuffing delle credenziali è un attacco alle password che sfrutta il fatto che molte persone riutilizzano le password su più account. In un attacco di stuffing delle credenziali, i cybercriminali utilizzano una serie di credenziali per tentare di compromettere più account contemporaneamente. Spesso, i cybercriminali utilizzano le credenziali trapelate nelle violazioni dei dati pubbliche.
Attacco al tavolo arcobaleno
Un attacco al tavolo arcobaleno avviene quando i cybercriminali utilizzano una tabella speciale nel tentativo di decifrare gli hash delle password. Gli hash delle password avvengono quando le password vengono cambiate in una stringa di caratteri illeggibili. Se un’azienda con cui hai un account crittografa le password degli utenti, questo vuol dire che archivierà solo gli hash delle password. Questo fa sì che i cybercriminali non siano in grado di sapere qual è la password del tuo account se quell’azienda dovesse subire una violazione dei dati.
Tuttavia, le password con hash sono comunque vulnerabili agli attacchi al tavolo arcobaleno. In un attacco al tavolo arcobaleno, i cybercriminali raccolgono un elenco di potenziali password che di solito consistono in combinazioni di password comunemente utilizzate. Utilizzano quindi una funzione di hash per trasformare ciascuna di queste password in hash delle password: sia la password in semplice testo che gli hash delle password vengono quindi archiviati nel tavolo arcobaleno. Gli hash delle password vengono quindi ridotti ulteriormente per creare una catena di hash che vengono quindi utilizzati per cercare di trovare una corrispondenza. Quando viene trovato un valore di hash corrispondente, il cybercriminale sa quale password utilizzare per compromettere l’account online di un utente.
Perché gli attacchi alle password sono pericolosi
Gli attacchi alle password sono pericolosi perché possono portare alla compromissione dell‘account o all’acquisizione dell‘account, il che può portare al furto della tua identità e al rischio di perdite finanziarie. L’acquisizione dell’account avviene quando una persona non autorizzata accede a uno o più dei tuoi account online e ti blocca cambiando la tua password. Poiché la tua password è stata cambiata, potrebbe volerci un po’ di tempo prima che tu possa accedere nuovamente al tuo account o, in alcuni casi, potresti non essere in grado di riaccedere al tuo account.
Nel periodo di tempo in cui una persona non autorizzata può accedere al tuo account, può raccogliere informazioni sensibili su di te e utilizzare tali informazioni per rubare la tua identità. Il furto di identità può essere difficile da superare e può comportare gravi perdite finanziarie.
Come posso proteggermi dagli attacchi alle password?
Ecco alcuni modi per proteggerti dagli attacchi alle password.
Utilizza le chiavi di accesso se sono supportate sul sito web o sull’app
Le chiavi di accesso sono una nuova tecnologia di autenticazione che ti consente di accedere ai tuoi account online senza dover inserire una password. Invece di dover creare una password da solo, le chiavi di accesso vengono generate automaticamente sul tuo dispositivo, browser o password manager quando le crei. Con le chiavi di accesso, non devi mai preoccuparti che siano deboli o riutilizzate come fai con le password tradizionali. Le chiavi di accesso sono rese forti per impostazione predefinita e non possono essere facilmente compromesse come le password, il che le rende uno dei modi più sicuri per autenticare chi sei quando accedi a un account.
Le chiavi di accesso sono ancora nuove, quindi solo alcuni siti web e applicazioni le supportano al momento. Invece di utilizzare le password, che sono suscettibili agli attacchi alle password, scegli di utilizzare le chiavi di accesso su qualsiasi sito web o applicazione con cui hai un account che ne supporta l’uso. Puoi vedere quali siti web e applicazioni supportano attualmente l’uso delle chiavi di accesso nella nostra directory delle chiavi di accesso.
Utilizza password forti e uniche
Non tutti i siti web supportano le chiavi di accesso, quindi dovrai comunque creare password forti per la maggior parte dei tuoi account online. Quando crei password, assicurati che seguano le migliori pratiche in materia di password per assicurarti che non possano essere facilmente indovinate o decifrate. Ti consigliamo di utilizzare un generatore di password quando crei le tue password in modo che siano sempre forti e uniche.
Se sei preoccupato di come ricordare più password forti e uniche, prendi in considerazione l’utilizzo di un password manager. I password manager aiutano gli utenti a generare password forti per ciascuno dei loro account online e ad archiviarle in modo sicuro insieme ad altri metodi di autenticazione come le chiavi di accesso e i codici di autenticazione a più fattori. L’unica password che dovrai ricordare è la password principale.
Abilita l’MFA ogni volta che è un’opzione
L’autenticazione a più fattori (MFA) è una misura di sicurezza che puoi abilitare sulla maggior parte dei tuoi account online. Con l’MFA abilitata, oltre a inserire il tuo nome utente e la password, dovrai anche fornire uno o più fattori di autenticazione aggiuntivi per accedere a un account. Anche se un cybercriminale fosse in grado di decifrare la tua password, non sarebbe comunque in grado di compromettere i tuoi account online perché non sarebbe in grado di autenticare la tua identità.
Presta attenzione agli attacchi di social engineering
Il social engineering avviene quando i cybercriminali utilizzano la manipolazione psicologica per indurre le vittime a rivelare informazioni sensibili. Uno dei tipi più comuni di attacchi di social engineering è il phishing. Il phishing avviene quando i cybercriminali inducono le vittime a rivelare informazioni sensibili fingendo di essere qualcuno che la vittima conosce, come un’azienda con cui ha un account o un familiare o un malintenzionato.
Gli attacchi di social engineering cercano comunemente di indurre le vittime a rivelare le loro credenziali di accesso per i loro account online. Se non presti attenzione agli attacchi di social engineering, potresti facilmente divulgare le tue credenziali di accesso e rischiare la compromissione dell’account. Uno dei modi migliori per evitare gli attacchi di social engineering è non fornire mai le tue informazioni personali a nessuno, in particolare gli accessi ai tuoi account online. Dovresti anche evitare di cliccare su eventuali link inviati senza alcuna richiesta per evitare di scaricare malware o inserire le tue credenziali di accesso o altre informazioni sensibili in un sito web di phishing.
Non lasciare che gli attacchi alle password portino alla compromissione degli account
Con così tanti account online, può diventare difficile creare password forti e uniche per ciascun account, abilitando al contempo l’MFA ogni volta che è un’opzione. Assicurarti che ciascuno dei tuoi account online sia sicuro non deve essere difficile: un password manager come Keeper® può aiutarti a proteggere i tuoi account dagli attacchi alle password più comuni.
Con Keeper, puoi gestire le tue chiavi di accesso, le password e persino i codici 2FA, in modo da poter proteggere i tuoi account online senza doverti preoccupare di password deboli o riutilizzate. Inizia oggi stesso una prova gratuita di 30 giorni di Keeper per evitare che i tuoi account vengano compromessi a causa degli attacchi alle password.