Il password spray e lo stuffing delle credenziali hanno molto in comune, ma la differenza principale è nel modo in cui viene eseguito l’attacco. Con lo stuffing delle credenziali, il cybercriminale ha già una serie di credenziali di accesso verificate, mentre con lo spray delle password il cybercriminale deve indovinare le credenziali di accesso abbinando un elenco di nomi utente a una password comunemente utilizzata.
Continua a leggere per scoprire di più sul password spray e sullo stuffing delle credenziali, la differenza tra di loro e come proteggerti da questi attacchi.
In cosa consiste il password spray?
Il password spray è un tipo di attacco di forza bruta in cui i cybercriminali cercano di abbinare le password comunemente utilizzate a un elenco di nomi utente verificati fino a quando non ottengono una corrispondenza. Con il password spray, i cybercriminali possono evitare i limiti dei tentativi di accesso e i blocchi degli account utilizzando la stessa password su account diversi. Sfruttano gli utenti che praticano abitudini in materia di password scadenti, come l’utilizzo di password deboli e prevedibili per proteggere i loro account online.
Il password spray inizia con un cybercriminale che acquisisce un elenco di nomi utente dalle directory online, dal dark web o da altre fonti aperte. I cybercriminali raccolgono quindi un elenco di password comunemente utilizzate ed eseguono un programma automatico per scegliere una password da abbinare all’elenco dei nomi utente fino a quando non ottengono il maggior numero di corrispondenze possibile. Una volta che il cybercriminale ha esaminato l’elenco dei nomi utente con la prima password, ripeterà la procedura con lo stesso elenco di nomi utente ma con una password diversa.
Che cos’è il credential stuffing?
Lo stuffing delle credenziali è un altro tipo di attacco di forza bruta in cui un cybercriminale ruba o acquista una serie di credenziali di accesso verificate e la utilizza per accedere a più account. I cybercriminali si basano sul riutilizzo della stessa password per più account. Il report del 2022 sulle pratiche in materia di password di Keeper ha dimostrato l’efficienza dello stuffing delle credenziali, poiché il 56% degli utenti riutilizza le password.
I cybercriminali spesso ottengono il set di credenziali di accesso da una violazione dei dati, da un precedente attacco informatico o sul dark web. Una volta che il cybercriminale ha la serie di credenziali di accesso verificate, utilizzerà uno strumento automatico per inserire le credenziali di accesso su più piattaforme per accedere a tali account. A volte, i cybercriminali utilizzano leggere variazioni delle credenziali di accesso per accedere agli altri account dell’utente.
La differenza tra il password spray e lo stuffing delle credenziali
Il password spray e lo stuffing delle credenziali sono entrambi tipi di attacchi di forza bruta che possono avere effetti dannosi sugli utenti. Se il password spray e gli attacchi di stuffing delle credenziali vanno a buon fine, possono portare a un’acquisizione dell‘account, in cui i cybercriminali hanno il pieno controllo dell’account di un utente da utilizzare a proprio vantaggio. I cybercriminali possono accedere alle informazioni di identificazione personale (PII) della vittima che possono essere utilizzate per commettere un furto di identità e altri tipi di frode.
Tuttavia, il password spray e lo stuffing delle credenziali differiscono in termini di metodi per ottenere l’accesso non autorizzato. Con lo stuffing delle credenziali, il cybercriminale ha già una serie di credenziali di accesso verificate che possono essere utilizzate per accedere a più account per un utente. Il password spray non ha una serie di credenziali di accesso e deve indovinarle abbinando le password comunemente utilizzate a un elenco di nomi utente. Il password spray attacca più utenti invece di prenderne di mira solo uno.
Come prevenire il password spray e lo stuffing delle credenziali
Il password spray e lo stuffing delle credenziali possono essere facilmente prevenuti praticando una buona igiene delle password. L’igiene delle password si riferisce alle migliori pratiche e abitudini per mantenere la sicurezza delle password. Ecco alcuni dei modi per prevenire il password spray e lo stuffing delle credenziali.
Usare password forti e uniche
Il password spray sfrutta gli utenti che utilizzano password deboli e prevedibili per proteggere i loro account online. Per evitare che il password spray indovini le password, devi utilizzare password forti per proteggere i tuoi account online. Una password forte è una combinazione casuale di lettere maiuscole e minuscole, numeri e caratteri speciali lunga almeno 16 caratteri. Non contiene nessuna informazione personale, numeri o lettere sequenziali o parole del dizionario comunemente utilizzate.
Lo stuffing delle credenziali si basa sugli utenti che riutilizzano le password su più account. Per evitare che i cybercriminali utilizzino lo stuffing delle credenziali e accedano ai tuoi account, devi utilizzare una password unica per ciascuno dei tuoi account ed evitare di riutilizzare le password. L’utilizzo di una password forte e unica per ciascuno dei tuoi account online impedirà sia lo stuffing delle credenziali che il password spray, rendendo difficile per i cybercriminali decifrare le password.
Abilita l’autenticazione a più fattori
L’autenticazione a più fattori (MFA) è un protocollo di sicurezza che richiede ulteriori forme di autenticazione. Per accedere a un account, gli utenti devono fornire le loro credenziali di accesso e almeno un’ulteriore forma di verifica, come una time-based One-Time Password (TOTP). L’MFA aggiunge un ulteriore livello di sicurezza e garantisce che solo gli utenti autorizzati possano accedere al tuo account. Anche se le tue credenziali di accesso fossero compromesse, i cybercriminali non potrebbero accedere al tuo account perché i tuoi account sono protetti dall’MFA e non hanno l’altro o gli altri fattori di autenticazione.
Archiviare le password in un Password Manager
Un password manager è uno strumento che memorizza e gestisce in modo sicuro le password in una cassaforte digitale crittografata. Con un password manager, puoi tenere traccia di tutte le password e accedervi in qualsiasi momento. La tua cassaforte digitale è protetta da più livelli di crittografia e può essere accessibile solo mediante una password principale forte. Un password manager garantisce anche che ciascuna password sia protetta individuando le password deboli o riutilizzate e chiedendoti di rafforzarle utilizzando il generatore di password integrato.
I cybercriminali possono trovare le tue credenziali di accesso sul dark web e utilizzarle per il password spray o gli attacchi di stuffing delle credenziali. Per prevenire il password spray e lo stuffing delle credenziali, devi investire in uno strumento di monitoraggio del dark web.
Il monitoraggio del dark web è uno strumento che esegue la scansione del dark web e monitora le informazioni personali specifiche, come le credenziali di accesso. Quando uno strumento di monitoraggio del dark web trova informazioni compromesse, ti avviserà e ti chiederà di agire come cambiare le password prima che i cybercriminali possano utilizzarle per ottenere l’accesso non autorizzato.
Attivare le notifiche per i tentativi di accesso
Per rilevare se un utente non autorizzato sta cercando di accedere al tuo account, devi attivare le notifiche per i tentativi di accesso ai tuoi account. Queste notifiche ti avviseranno ogni volta che qualcuno ha cercato di accedere al tuo account o un utente sconosciuto si è recentemente connesso al tuo account. Questo ti avviserà che un cybercriminale ti sta attaccando utilizzando un qualche tipo di attacco di forza bruta e ti consentirà di agire immediatamente.
Tieniti informato sulle minacce informatiche
I cybercriminali utilizzano una varietà di attacchi informatici per rubare le tue credenziali di accesso che possono utilizzare per il password spray e lo stuffing delle credenziali. Devi informarti sui diversi tipi di attacchi informatici utilizzati dai cybercriminali per riconoscerli ed evitarli.
I cybercriminali spesso utilizzano il phishing per indurre gli utenti a rivelare le loro credenziali di accesso. Invieranno e-mail o messaggi di testo con un allegato o un link dannoso che finge di essere una persona nota, come un’azienda legittima. Se un utente fa clic sul link, installa un malware sul suo dispositivo o viene indirizzato a un sito web falsificato. Il sito web falsificato chiede all’utente di fornire le sue credenziali di accesso.
Proteggi le tue password con Keeper®
Il password spray e lo stuffing delle credenziali possono avere effetti dannosi sugli utenti che utilizzano password deboli o riutilizzate. Tuttavia, possono essere facilmente evitate se un utente protegge i suoi account online con password forti e uniche e abilita l’MFA. L’utente medio ha circa 20 password da ricordare. È estremamente difficile gestire una password forte e unica per ciascun account. Per proteggere al meglio i tuoi account, devi utilizzare un password manager.
Keeper Password Manager è zero trust e zero knowledge, garantendo che solo tu possa accedere alle tue informazioni personali. Con Keeper, puoi gestire facilmente le password su qualsiasi dispositivo e semplificare l’accesso con KeeperFill.