Quali sono gli attacchi di forza bruta e come puoi proteggerti?

Annuncio pubblicitario

Se leggi regolarmente i nostri articoli sulla sicurezza, ad esempio questo testare la sicurezza della tua password Metti alla prova la tua forza password con lo stesso strumento utilizzato dagli hackerLa tua password è sicura? Gli strumenti che valutano la validità della tua password hanno una scarsa accuratezza, il che significa che l'unico modo per testare davvero le tue password è provare a romperle. Diamo un'occhiata a come. Leggi di più - probabilmente hai sentito la frase "attacco di forza bruta". Ma cosa significa quello esattamente? Come funziona? E come puoi proteggerti da ciò? Ecco cosa devi sapere.

Brute Force Attacks: The Basics

Quando si tratta di esso, un attacco di forza bruta è davvero semplice: un programma per computer cerca di indovinare a password o una chiave di crittografia ripetendo tutte le possibili combinazioni di un certo numero di personaggi. Ad esempio, supponiamo che tu abbia scritto un'app che ha tentato di forzare una password iPhone di quattro numeri. Potrebbe indovinare 1111, quindi 1112, quindi 1113, 1114, 1115 e così via fino ad arrivare a 9999.

Lo stesso principio può essere applicato con password più complicate. Un algoritmo di forza bruta potrebbe iniziare con aaaaaa, aaaaab, aaaaaac, quindi procedere a cose come aabaa1, aabaa2, aabaa3 e così via, attraverso tutte le combinazioni di sei caratteri di numero e lettere fino a zzzzzz, zzzzz1 e al di là.

Esiste anche una tecnica nota come attacco di forza bruta inversa, in cui viene tentata una password contro molti nomi utente diversi. Questo è meno comune e più difficile da usare con successo, ma aggira alcune contromisure comuni.

Come puoi vedere, questo è un modo piuttosto inelegante per indovinare una password. Tuttavia, teoricamente, se avessi abbastanza potenza di calcolo e sufficiente energia, potresti indovinare qualsiasi password. Ma se stai utilizzando qualcosa di diverso da una password breve e semplice, non hai nulla di cui preoccuparti, poiché la quantità di la potenza di calcolo necessaria per indovinare una password più lunga richiederebbe un'enorme quantità di energia e potrebbe richiedere anni completare.

Attacchi avanzati di forza bruta

Poiché gli attacchi di forza bruta su qualsiasi cosa tranne le password molto semplici sono terribilmente inefficienti e richiedono molto tempo, gli hacker hanno messo a punto alcuni strumenti che li rendono più efficaci.

Un attacco del dizionario, ad esempio, non scorre solo attraverso tutte le possibili combinazioni di personaggi; utilizza parole, numeri o stringhe di caratteri di un elenco precompilato che l'hacker ritiene essere almeno un po 'più probabile rispetto alla media di apparire in una password (questo è il tipo di attacco che puoi eseguire con equità semplice software di test di penetrazione della rete Come testare la sicurezza della tua rete domestica con strumenti di hacking gratuitiNessun sistema può essere completamente "a prova di hacking", ma i test di sicurezza del browser e le garanzie di rete possono rendere il tuo set-up più robusto. Utilizza questi strumenti gratuiti per identificare i "punti deboli" nella tua rete domestica. Leggi di più ).

Ad esempio, un attacco del dizionario potrebbe provare un numero di password comuni prima di entrare in un attacco di forza bruta standard, come "password", "mypassword", "letmein" e così via. Oppure potrebbe aggiungere "2016" alla fine di tutte le password che prova prima di passare alla password successiva.

Esistono vari metodi per utilizzare gli attacchi di forza bruta, ma si basano tutti sul provare un numero enorme di password il più rapidamente possibile fino a quando non viene trovata quella giusta. Alcuni richiedono più potenza di calcolo, ma risparmiano in tempo; alcuni sono più veloci, ma richiedono una maggiore quantità di spazio di archiviazione durante l'attacco.

Dove gli attacchi di forza bruta sono pericolosi

Gli attacchi di forza bruta possono essere utilizzati su qualsiasi cosa che abbia una password o una chiave di crittografia, ma in molti luoghi in cui potrebbero essere utilizzati hanno implementato contromisure efficaci contro di loro (come vedrai nella sezione successiva).

Sei più a rischio a causa di un attacco di forza bruta se perdi i tuoi dati e un hacker ne prende possesso, una volta è sul loro computer, alcune delle garanzie che sono in atto sul tuo computer o online possono essere aggirate.

In che modo un malintenzionato potrebbe ottenere i tuoi dati sul proprio computer? Potresti perdere un'unità flash, magari lasciandola nella tasca dei vestiti che hai inviato a una lavanderia, come la Trovate 4.500 unità flash nel 2009 nel Regno Unito. Oppure, come gli altri 12.500 dispositivi trovati, potresti lasciare un telefono o un laptop in un taxi. È una cosa facile da fare.

O forse qualcuno è stato in grado di scaricare qualcosa da un servizio cloud perché lo hai condiviso collegamento abbreviato insicuro I collegamenti abbreviati compromettono la tua sicurezza?Un recente studio ha dimostrato che la praticità degli accorciatori di URL come bit.ly e goo.gl potrebbe comportare un rischio significativo per la tua sicurezza. È tempo di chiudere gli strumenti per abbreviare gli URL? Leggi di più . O forse sei stato colpito da alcuni ransomware che non solo bloccavano il tuo computer, ma rubavano anche alcuni dei tuoi file.

Il punto di tutto ciò è che gli attacchi di forza bruta non sono efficaci in alcuni punti, ma ci sono molti modi in cui possono essere schierati contro i tuoi dati. Il modo migliore per impedire ai tuoi dati di entrare nel computer di un hacker è tenere traccia di dove si trovano i tuoi dispositivi (specialmente le unità flash!).

Protezione dagli attacchi di forza bruta

Esistono numerose difese che i siti Web o le app possono utilizzare contro gli attacchi di forza bruta. Uno dei più semplici e più comunemente usati è il blocco: se si inserisce una password errata un certo numero di volte, l'account viene bloccato e devi contattare il servizio clienti o il tuo IT Dipartimento. Questo ferma un attacco di forza bruta sulle sue tracce.

Una tattica simile può essere usata con a Sfida CAPTCHA Tutto ciò che avresti sempre voluto sapere sui CAPTCHA ma che avevi paura di chiedere [tecnologia spiegata]Amarli o odiarli: i CAPTCHA sono diventati onnipresenti su Internet. Cosa diavolo è un CAPTCHA e da dove proviene? Responsabile per l'affaticamento della vista in tutto il mondo, l'umile CAPTCHA ... Leggi di più o altri compiti simili. Nessuno di questi metodi funzionerà contro un attacco di forza bruta inversa, poiché non supererà il test della password una sola volta per ciascun account.

Un altro metodo che può essere utilizzato per prevenire questi attacchi (sia standard che inversi) è autenticazione a due fattori Cos'è l'autenticazione a due fattori e perché dovresti usarlaL'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con una carta di credito non richiede solo la carta, ... Leggi di più (2FA); anche se un hacker indovina la password corretta, il requisito di un altro codice o input fermerà un attacco anche se indovina la password corretta. Fortunatamente, sempre più servizi lo sono che incorpora 2FA Blocca subito questi servizi con l'autenticazione a due fattoriL'autenticazione a due fattori è il modo intelligente per proteggere i tuoi account online. Diamo un'occhiata ad alcuni dei servizi che è possibile bloccare con una migliore sicurezza. Leggi di più nei loro sistemi. esso può essere una seccatura La verifica in due passaggi può essere meno irritante? Quattro hack segreti garantiti per migliorare la sicurezzaVuoi una sicurezza dell'account a prova di proiettile? Consiglio vivamente di abilitare quella che viene chiamata autenticazione "a due fattori". Leggi di più , ma ti proteggerà da molti attacchi.

Vale la pena notare che mentre queste tattiche sono ottime per evitare attacchi di forza bruta, possono anche essere utilizzate per attaccare un sito in altri modi. Ad esempio, se un attacco di forza bruta viene lanciato contro un sito che blocca gli account dopo cinque tentativi errati, il loro team di assistenza clienti potrebbe essere inondato di chiamate, rallentando il sito. Potrebbe anche essere impiegato come parte di a attacco denial of service distribuito Che cos'è un attacco DDoS? [MakeUseOf Explains]Il termine DDoS sibila ogni volta che il cyber-attivismo alza la testa in massa. Questo tipo di attacchi fanno notizia a livello internazionale a causa di molteplici ragioni. I problemi che fanno scattare quegli attacchi DDoS sono spesso controversi o altamente ... Leggi di più .

Di gran lunga il modo più semplice per proteggersi da un attacco di forza bruta è usare una password lunga. All'aumentare della lunghezza di una password, la potenza computazionale richiesta per indovinare tutte le possibili combinazioni di caratteri aumenta molto rapidamente. In un documento sui rischi per la sicurezza degli accorciatori di URL, i ricercatori hanno mostrato come i token a cinque, sei e sette caratteri fossero facili da indovinare, ma i token a 11 e 12 caratteri erano quasi impossibili.

È possibile applicare la stessa logica alle password. Usa password complesse 6 suggerimenti per la creazione di una password infrangibile che puoi ricordareSe le tue password non sono uniche e infrangibili, potresti anche aprire la porta d'ingresso e invitare i ladri a pranzo. Leggi di più e sarai quasi immune agli attacchi di forza bruta.

Un attacco sorprendentemente efficace

Per quanto sia semplice e non elegante - si chiama "forza bruta" per una ragione, dopotutto - questo tipo di attacco può essere sorprendentemente efficace per ottenere l'accesso ad aree crittografate e protette da password. Ma ora che sai come funziona l'attacco e come proteggerti da esso, non dovresti preoccuparti molto!

Usi l'autenticazione a due fattori? Sei a conoscenza di altre buone difese contro gli attacchi di forza bruta? Condividi i tuoi pensieri e suggerimenti qui sotto!

Crediti immagine: TungCheung via Shutterstock, cunaplus tramite Shutterstock.