Aziende e professionisti
Proteggete la vostra azienda dai criminali informatici.
Inizia la prova gratuitaCos'è un attacco di forza bruta?
- Minacce
- Cos'è un attacco di forza bruta?
Cos'è un attacco di forza bruta?
A brute force is a type of cyberattack that uses trial and error methods to guess login credentials, security keys or other sensitive information. Brute force attacks are surprisingly effective, especially given that about 65% of people reuse passwords. Reusing passwords is a dangerous and common practice, and one compromised password is all it takes to expose an entire system or group of credentials.
Brute force attacks are perpetrated against businesses and individuals alike, because, unfortunately, even employees reuse passwords. The average cost of a successful cyberattack is in the millions of dollars, and brute force attacks are becoming more common as more and more businesses adopt work-from-home practices for good.
Come funziona un attacco di forza bruta
In un attacco di forza bruta si usa un software per "indovinare" le credenziali. Provando e sbagliando, gli attacchi di forza bruta inseriscono espressioni comuni prese dal dizionario, password già utilizzate o combinazioni specifiche di lettere e numeri fino a quando non trovano una corrispondenza.
Tipi di attacco di forza bruta
Attacchi di forza bruta semplici
Gli attacchi di forza bruta semplici procedono per tentativi ed errori provando varie combinazioni per indovinare le credenziali di accesso. L'aggressore utilizza un computer molto potente per provare ogni combinazione alfanumerica possibile. Sebbene ciò possa sembrare inefficace, alcuni computer possono elaborare miliardi di combinazioni insieme.
Attacchi a dizionario
Gli attacchi a dizionario fanno leva su semplici parole o espressioni prese dal dizionario per scovare le credenziali degli utenti. È consigliabile non utilizzare parole o frasi facilmente riscontrabili in un dizionario perché un attacco di forza bruta di tipo "a dizionario" potrebbe prenderle e usarle per trovare la password.
Attacchi di forza bruta ibridi
Utilizzando la logica esterna, il software trova quali password hanno più possibilità di successo e ricorrerà alla forza bruta per applicare ogni combinazione.
Attacchi di forza bruta al contrario
Questo metodo dipende su alcune password di uso comune selezionate. È facile trovare online gli elenchi di parole di uso comune. Eccone un elenco da 10.000 voci. Un attacco di forza bruta al contrario utilizza un elenco simile per inserire queste password di uso comune in più account nella speranza di trovare una qualche corrispondenza.
Attacco di furto di credenziali
Il furto di credenziali è uno dei metodi di forza bruta più efficaci. Online, nel dark Web, è possibile acquistare degli elenchi di password utilizzate in precedenti violazioni che i criminali informatici utilizzano per "stipare" di credenziali decine di siti Web in contemporanea e trovare un'eventuale corrispondenza. Spesso gli utenti non cambiano le password per tutti i loro account anche se questi sono stati vittima di attacchi hacker.
Perché gli attacchi di forza bruta sono una minaccia
Gli attacchi di forza bruta sono una minaccia informatica particolarmente pericolosa perché consentono ai criminali di forzare l'accesso a più account insieme. Metodi quali il furto di credenziali possono sferrare un attacco verso migliaia di account in un'unica volta e, statisticamente, almeno uno di questi si aprirà con le credenziali inserite.
Una volta verificate le credenziali, i criminali informatici possono ottenere l'accesso a ogni tipo di account, dai social ai conti bancari a quelli governativi e di lavoro contenenti informazioni sensibili.
Come il telelavoro ha fatto aumentare il numero di attacchi di forza bruta
La pandemia da COVID-19 ha costretto migliaia di aziende ad adottare modelli di telelavoro in attesa di nuove disposizioni. Il telelavoro ha dato modo di sperimentare l'azienda in un'altra ottica e le aziende che non avevano mai sostenuto questo modello di lavoro prima di allora si sono trovate davanti a un dilemma tormentoso: adattarsi o soccombere. E infatti migliaia di aziende sono state chiuse, mentre quelle che sono rimaste aperte hanno dovuto fare i conti con nuove sfide, quelle del crimine informatico.
Da gennaio a dicembre 2020 gli attacchi di forza bruta sono aumentati da circa 200.000 a ben oltre 1,4 milioni in tutto il mondo. E mentre le aziende provavano essenzialmente a implementare il telelavoro, i criminali informatici hanno sfruttato al massimo questa opportunità per trarre vantaggio da desktop remoti non protetti e cattive abitudini di gestione delle password.
Come impedire gli attacchi di forza bruta
Utilizzare strumenti automatizzati
È possibile impedire gli attacchi di forza bruta con sofisticati strumenti automatizzati. Le aziende stanno già affrontando tali attacchi e altre minacce di malware avvalendosi di questi strumenti. Visto che il rilevamento delle minacce diventa sempre più sofisticato, toccherà sempre più alla tecnologia IA rilevare, bloccare e rimuovere le minacce prima che provochino danni.
La protezione dei bot può aiutare a monitorare il traffico Web alla ricerca di attività sospette e tenere fuori gli utenti quando si sospetta un attacco. I bot possono anche prevedere le attività sospette quali un numero elevato di tentativi di accesso e avvisano la vittima prima che l'attacco sia completato.
Gli attacchi di forza bruta sono semplici ma spesso efficaci, in particolare se la persona o l'azienda non ha messo in atto le misure di protezione corrette.
Rimuovere gli account inattivi
Quando un dipendente lascia l'azienda, è importante rimuoverne completamente gli account per evitare accessi non autorizzati. Persino quando viene disattivato, l'account di un dipendente funge comunque da punto di ingresso potenziale per i criminali informatici. Gli account inattivi dovrebbero essere chiusi il prima possibile e le relative credenziali eliminate dal sistema.
Richiedere l'A2F/AMF per tutti gli account
L'autenticazione multifattoriale o a due fattori può essere la nostra ancora di salvezza in caso di attacco di forza bruta. Quando una password viene utilizzata da un dispositivo sconosciuto o non registrato, si attiva un'ulteriore fase di autenticazione. Può trattarsi di un link di verifica tramite SMS o e-mail, di un inserimento biometrico o di un altro metodo. In questo modo viene aggiunto un ulteriore livello di protezione a ogni account.
Gli strumenti di A2F e AMF sono spesso integrati nelle piattaforme di gestione delle password e in altri strumenti di sicurezza informatica. Gli amministratori di sistema dovrebbero prendere in considerazione l'imposizione di tale metodo di autenticazione per ogni account del sistema per aggiungere un livello di sicurezza importante.
Limitare i tentativi di accesso
Gli attacchi di forza bruta sono efficaci se i tentativi di accesso possono essere tanti, ma non lo sono se il numero di tentativi possibili è limitato. Tre tentativi di accesso è un buon punto di partenza, perché sono sufficienti per chi ha effettivamente sbagliato a inserire le proprie credenziali, ma sono sufficientemente pochi per tenere lontane le minacce prima che la password venga scoperta. Dopo tre tentativi falliti, l'account viene completamente bloccato e sarà necessario l'intervento dell'amministratore di sistema per ripristinare l'accesso dopo aver verificato l'identità dell'utente.
Rallentare gli accessi
È anche possibile rallentare i tentativi di accesso richiedendo un tempo di attesa tra un accesso non riuscito e il successivo. Insieme al limite del numero di accessi, questo metodo può fermare un attacco di forza bruta dopo tre tentativi e limitare la frequenza di inserimento delle informazioni da parte dei criminali. In questo modo anche l'amministratore riceverà la segnalazione di attività sospetta e potrà intervenire.
Fare in modo che le password siano complesse e univoche
Se vi assicurate di usare password complesse e univoche per tutti i vostri account, sarà più difficile per i criminali informatici indovinare le vostre password. Assicuratevi di utilizzare sempre password complesse che includano lettere, numero e simboli. Più sono complesse, meglio è.
Potete usare un generatore di password per aiutarvi a generare password complesse e univoche per tutti i vostri account.
