Quali sono gli attacchi di forza bruta e come puoi proteggerti?

Quali sono gli attacchi di forza bruta e come puoi proteggerti? / Sicurezza

Se leggi regolarmente i nostri articoli sulla sicurezza, come questo sulla verifica della forza della password, prova la forza della password con lo stesso strumento. Gli hacker utilizzano la forza della password con lo stesso strumento. Gli hacker sono sicuri? Gli strumenti che valutano la forza della tua password hanno una scarsa precisione, il che significa che l'unico modo per testare realmente le tue password è cercare di infrangerle. Diamo un'occhiata a come. Per saperne di più - probabilmente hai sentito la frase “attacco di forza bruta.” Ma cosa significa quello esattamente? Come funziona? E come puoi proteggerti contro di esso? Ecco cosa devi sapere.

Attacchi di forza bruta: le basi

Quando si tratta di un attacco di forza bruta, è davvero semplice: un programma per computer tenta di indovinare una password o una chiave di crittografia ripetendo tutte le combinazioni possibili di un certo numero di caratteri. Ad esempio, supponiamo che tu abbia scritto un'app che ha tentato di forzare la password di un iPhone di quattro numeri. Potrebbe indovinare 1111, quindi 1112, quindi 1113, 1114, 1115 e così via fino a 9999.

Lo stesso principio può essere applicato con password più complicate. Un algoritmo di forza bruta potrebbe iniziare con aaaaaa, aaaaab, aaaaaac, quindi procedere a cose come aabaa1, aabaa2, aabaa3 e così via, attraverso tutte le combinazioni di sei caratteri di numero e lettere fino a zzzzzz, zzzzz1 e oltre.

Esiste anche una tecnica nota come attacco di forza bruta inversa, in cui una password viene provata contro molti nomi utente diversi. Questo è meno comune e più difficile da usare con successo, ma aggira alcune contromisure comuni.

Come puoi vedere, questo è un modo piuttosto poco elegante di indovinare una password. Tuttavia, in teoria, se hai abbastanza potenza di calcolo e abbastanza energia, puoi indovinare qualsiasi password. Ma se stai usando qualcosa di diverso da una password breve e semplice, non hai nulla di cui preoccuparti, dato che la quantità di potenza di calcolo che occorrerebbe per indovinare una password più lunga richiederebbe un'enorme quantità di energia e potrebbe richiedere anni completare.

Attacchi avanzati di forza bruta

Poiché gli attacchi di forza bruta su tutto tranne che su password molto semplici sono dolorosamente inefficienti e dispendiosi in termini di tempo, gli hacker hanno escogitato alcuni strumenti che li rendono più efficaci.

Ad esempio, un attacco di dizionario non si limita a scorrere tutte le possibili combinazioni di caratteri; usa parole, numeri o stringhe di caratteri da una lista precompilata che l'hacker ritiene sia almeno in qualche modo più probabile della media di mostrarsi in una password (questo è il tipo di attacco che puoi eseguire con una penetrazione di rete abbastanza semplice Come testare la sicurezza della rete domestica con gli strumenti di hacking gratuito Come testare la sicurezza della rete domestica con gli strumenti di hacking gratuito Nessun sistema può essere completamente "hack proof", ma i test di sicurezza del browser e le protezioni di rete possono rendere più robusto il tuo set-up. questi strumenti gratuiti per identificare "punti deboli" nella rete domestica..

Ad esempio, un attacco di dizionario potrebbe provare un certo numero di password comuni prima di entrare in un attacco di forza bruta standard, come “parola d'ordine,” “la mia password,” “Fammi entrare,” e così via. O potrebbe aggiungere “2016” alla fine di tutte le password che prova prima di passare alla password successiva.

Esistono vari metodi per utilizzare gli attacchi di forza bruta, ma tutti si affidano a provare un numero enorme di password il più rapidamente possibile finché non viene trovato quello giusto. Alcuni richiedono più potenza di calcolo, ma risparmiano in tempo; alcuni sono più veloci, ma richiedono una quantità maggiore di spazio di archiviazione da utilizzare durante l'attacco.

Dove gli attacchi di forza bruta sono pericolosi

Gli attacchi di forza bruta possono essere utilizzati su qualsiasi cosa abbia una password o una chiave di crittografia, ma molti punti in cui potrebbero essere utilizzati hanno implementato contromisure efficaci contro di loro (come vedremo nella prossima sezione).

Sei il più pericoloso da un attacco di forza bruta se perdi i tuoi dati e un hacker lo impugna - una volta che è sul loro computer, alcune delle protezioni che sono in atto sulla tua macchina o online possono essere aggirate.

Come potrebbe un malvagio portare i tuoi dati sul loro computer? Potresti perdere un flash drive, magari lasciandolo nella tasca dei tuoi vestiti che hai inviato a una lavanderia a secco, come i 4.500 flash drive trovati nel 2009 nel Regno Unito. Oppure, come gli altri 12.500 dispositivi trovati, puoi lasciare un telefono o un laptop in un taxi. È una cosa facile da fare.

O forse qualcuno è stato in grado di scaricare qualcosa da un servizio cloud perché hai condiviso un link accorciato in modo insicuri? Sono collegamenti abbreviati che compromettono la tua sicurezza? I collegamenti abbreviati compromettono la sicurezza? Uno studio recente ha dimostrato che la convenienza degli abbreviazioni URL come bit.ly e goo.gl potrebbe comportare un rischio significativo per la sicurezza dell'utente. È tempo di chiudere gli strumenti di riduzione degli URL? Leggi di più . O forse sei stato colpito da qualche ransomware che non solo ha bloccato il tuo computer, ma ha anche rubato alcuni dei tuoi file.

Il punto di tutto questo è che gli attacchi di forza bruta non sono efficaci in alcuni punti, ma ci sono molti modi in cui possono essere distribuiti contro i tuoi dati. Il modo migliore per impedire ai tuoi dati di accedere al computer di un hacker è quello di tenere traccia di dove i tuoi dispositivi (in particolare le unità flash!) Sono.

Protezione contro attacchi di forza bruta

Esistono numerose difese che i siti Web o le app possono utilizzare contro gli attacchi di forza bruta. Uno dei più semplici e più comunemente usati è il blocco: se inserisci una password errata un certo numero di volte, l'account viene bloccato e devi metterti in contatto con il servizio clienti o il tuo dipartimento IT. Questo ferma un attacco di forza bruta nelle sue tracce.

Una tattica simile può essere utilizzata con una sfida CAPTCHA Tutto quello che avresti voluto sapere sui CAPTCHAs, ma avevi paura di chiedere [la tecnologia spiegava] Tutto ciò che avresti sempre voluto sapere sui CAPTCHAs, ma avevi paura di chiedere [Spiegazione della tecnologia] Amarli o odiarli - I CAPTCHA sono diventati onnipresenti su Internet. Cosa diavolo è un CAPTCHA comunque, e da dove viene? Responsabile per l'affaticamento degli occhi in tutto il mondo, l'umile CAPTCHA ... Leggi di più o altri compiti simili. Nessuno di questi metodi funziona contro un attacco di forza bruta inversa, poiché fallirà un test della password solo una volta per ogni account.

Un altro metodo che può essere usato per prevenire questi attacchi (sia standard che inverso) è l'autenticazione a due fattori Qual è l'autenticazione a due fattori, e perché dovresti usarla Cos'è l'autenticazione a due fattori, e perché dovresti usarla a due fattori authentication (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la propria identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con carta di credito non richiede solo la carta, ... Per saperne di più (2FA); anche se un hacker indovina la password corretta, il requisito di un altro codice o input interromperà un attacco anche se indovina la password corretta. Fortunatamente, sempre più servizi integrano 2FA Lock Down Questi servizi ora con autenticazione a due fattori Blocco di questi servizi ora con autenticazione a due fattori L'autenticazione a due fattori è il modo intelligente per proteggere i tuoi account online. Diamo un'occhiata ad alcuni dei servizi che puoi bloccare con una maggiore sicurezza. Leggi di più nei loro sistemi. Può essere una seccatura La verifica in due passaggi può essere meno irritante? Quattro attacchi segreti garantiti per migliorare la sicurezza La verifica in due passaggi può essere meno irritante? Quattro segreti hacker garantiti per migliorare la sicurezza Volete la sicurezza dell'account a prova di proiettile? Consiglio vivamente di abilitare la cosiddetta autenticazione "a due fattori". Leggi di più, ma ti proteggerà da molti attacchi.

Vale la pena notare che mentre queste tattiche sono ottime per evitare attacchi di forza bruta, possono anche essere usate per attaccare un sito in altri modi. Ad esempio, se viene lanciato un attacco di forza bruta contro un sito che blocca gli account dopo cinque tentativi errati, il loro team di assistenza clienti potrebbe essere inondato di chiamate, rallentando il sito. Potrebbe anche essere impiegato come parte di un attacco denial of service distribuito Cos'è un attacco DDoS? [MakeUseOf Explains] Che cos'è un attacco DDoS? [MakeUseOf Explains] Il termine DDoS sibila quando il cyber-attivismo impenna la sua testa in massa. Questi tipi di attacchi fanno notizia internazionale a causa di molteplici ragioni. I problemi che scatenano quegli attacchi DDoS sono spesso controversi o altamente ... Per saperne di più .

Di gran lunga il modo più semplice per proteggersi da un attacco di forza bruta è usare una lunga password. Con l'aumentare della lunghezza di una password, la potenza di calcolo necessaria per indovinare tutte le possibili combinazioni di caratteri cresce molto rapidamente. In un documento sui rischi per la sicurezza degli abbreviazioni URL, i ricercatori hanno dimostrato che le token a cinque, sei e sette caratteri erano facili da indovinare, ma i token da 11 e 12 caratteri erano quasi impossibili.

Puoi applicare la stessa logica alle tue password. Usa password complesse 6 Suggerimenti per creare una password infrangibile che puoi ricordare 6 Suggerimenti per creare una password infrangibile che puoi ricordare Se le tue password non sono uniche e indissolubili, potresti anche aprire la porta principale e invitare i ladri a pranzo. Leggi di più, e sarai praticamente immune agli attacchi di forza bruta.

Un attacco sorprendentemente efficace

Per quanto semplice e inelegante sia - si chiama “forza bruta” per una ragione, dopo tutto, questo tipo di attacco può essere sorprendentemente efficace nell'accedere alle aree protette da password e crittografate. Ma ora che sai come funziona l'attacco e come puoi proteggerti contro di esso, non dovresti avere molto di cui preoccuparti!

Usi l'autenticazione a due fattori? Sei a conoscenza di altre buone difese contro gli attacchi di forza bruta? Condividi i tuoi pensieri e suggerimenti qui sotto!

Crediti immagine: TungCheung via Shutterstock, cunaplus via Shutterstock.

Scopri di più su: sicurezza informatica, sicurezza online, password.