Che cos'è un attacco di forza bruta e come prevenirlo

What is a brute-force attack?

Tutti abbiamo bisogno di risolvere i CAPTCHA di tanto in tanto, ma hai mai pensato quale sia lo scopo di questi test a volte fastidiosi? E cosa significa CAPTCHA? E 'l'acronimo di C ompletely Un utomated PUBBLICA T urante prova a raccontare omputers C e H Umans parte A, e uno dei suoi obiettivi principali è quello di prevenire successo attacchi brute-force. Tempo per qualche altra domanda.

Che cos'è un attacco a forza bruta?

Pensa a un lucchetto a combinazione. Non conosci il codice a quattro cifre che lo sblocca, quindi prova a indovinarlo. Inizi con "0000" e se non funziona prova "0001", "0002", "0003", ecc. Fino a raggiungere la combinazione che apre il lucchetto. Questo, in termini semplici, è un attacco a forza bruta e lo stesso principio può essere applicato alle password.

Certo, non è così facile come sembra. In genere, le password sono composte da più di quattro caratteri e di solito contengono lettere che, come scopriremo tra un minuto, indicano che il numero di combinazioni possibili è molto più elevato. Tutto sommato, un attacco a forza bruta nella sua forma tradizionale non è un modo brillantemente efficace di infrangere una password. Ecco perché, un'evoluzione dell'attacco a forza bruta chiamato attacco a dizionario è oggigiorno molto più comune.

Che cos'è un attacco con dizionario?

In un attacco con dizionario, gli hacker stanno ancora cercando di indovinare la password. La differenza è che in un tentativo di forza bruta sparano al buio mentre qui fanno ipotesi colte. Questo attacco è reso possibile dal fatto che gli utenti semplicemente non sono molto bravi con le password .

Memorizzare più password complesse è difficile, motivo per cui molte persone ricorrono a proteggere i propri account con parole semplici come "password" o schemi di tastiera come "qwerty". Mettendo insieme lunghi elenchi di password comunemente utilizzate, gli hacker hanno molte più probabilità di indovinare la password con molti meno tentativi.

Attacchi offline e online

Sia l'attacco tradizionale a forza bruta che la varietà del dizionario possono essere eseguiti online o offline. In un attacco online, gli hacker cercano di indovinare la password nella pagina di accesso. Quando sono offline, hanno violato il provider di servizi e scaricato il database che contiene la password con hash. Dopo aver ricreato localmente il meccanismo di hashing, provano a indovinare la password senza collegarsi alla pagina di accesso.

Da dove viene CAPTCHA?

È un meccanismo per fermare attacchi di forza bruta online e dizionari. Come avrete già intuito, gli aggressori non si siedono davanti a una tastiera provando password diverse fino a quando "Accesso concesso" appare sullo schermo. Usano strumenti e software automatizzati e, per quanto sofisticati come questi, non sono in grado di risolvere un buon test CAPTCHA. Di solito ci sono altre precauzioni come i limiti al numero di tentativi di accesso falliti e il blocco degli IP che generano traffico sospetto, ma un test CAPTCHA è la soluzione più semplice (anche se non completamente infallibile).

In un attacco offline, tuttavia, un test CAPTCHA è completamente irrilevante. Ecco dove devi intervenire.

Proteggiti dagli attacchi di forza bruta

L'unico modo per assicurarsi che la tua password non sia suscettibile ad un attacco del dizionario è assicurarsi che non sia nei dizionari degli hacker. Qualsiasi modello di tastiera dovrebbe essere fuori questione, anche se pensi che non siano facili da indovinare. Se la password è una parola significativa, potresti essere anche vulnerabile. Non dimenticare che in un attacco offline, gli hacker non devono preoccuparsi di essere scoperti o di finire i tentativi di accesso, quindi possono teoricamente caricare l'intero vocabolario di una lingua e attendere che arrivi la parola giusta. Una serie casuale di personaggi che non ha senso non solo ti proteggerà dagli attacchi del dizionario, ma renderà anche i tentativi di forza bruta significativamente più difficili.

A seconda della lunghezza e del tipo di caratteri utilizzati, esiste un numero finito di possibili combinazioni per ogni singola password. Per un codice numerico di quattro caratteri, ad esempio, hai un totale di 10 mila combinazioni possibili. Se si aggiungono lettere minuscole all'equazione, tuttavia, si aumenta immediatamente il numero fino a quasi 1,7 milioni. Aggiungi lettere maiuscole e vedi quasi 14,8 milioni di combinazioni.

Può sembrare molto, ma i moderni strumenti di decodifica della password passeranno attraverso tutte queste combinazioni in pochi secondi, motivo per cui, oltre a raccomandare l'uso di una gamma quanto più ampia possibile di caratteri, gli esperti dicono anche che una buona password è almeno Lunga 8 caratteri.

Alcuni di voi potrebbero leggere questo pensiero "più facile a dirsi che a farsi". Bene, riteniamo che contrastare i tentativi di forza bruta non sia mai stato così semplice. Con Cyclonis Password Manager , creare e archiviare più password complesse è un gioco da ragazzi. Il generatore di password automatico creerà password casuali costituite da numeri, lettere e caratteri speciali e spetta a te decidere quanto tempo vorranno che siano. Non devi nemmeno preoccuparti di ricordarli. Cyclonis Password Manager inserirà tutte le tue password in un deposito crittografato a cui potrai accedere tramite la tua password principale.

October 9, 2019

Lascia un Commento