Gli attacchi di forza bruta (brute force attack)
consistono nell’individuare un username e una password, provando tutte le possibili combinazioni di lettere, caratteri speciali e numeri. Può richiedere un elevato numero di tentativi e un lungo tempo d’esecuzione.
L’obiettivo è individuare la password che permette di accedere a un determinato sistema informatico, provando tutte le combinazioni possibili. Fino a che non si trova quella giusta.
In genere, è usato dagli hacker per rubare informazioni sensibili o diffondere malware. Un metodo che viene considerato come ultima spiaggia, quando non rimane altro da tentare, perché è per natura poco efficiente: può richiedere un elevatissimo numero di tentativi e un lungo tempo d’esecuzione.
Ci sono dei plugin adatti per combattere il fenomenno del brute force attack.
Cosa fa un attacco di forza bruta
Un attacco brute force può essere sfruttato per recuperare qualunque tipo di password. Da quella che usiamo per Gmail a quella di Facebook, passando per la chiave che ci permette di accedere ai nostri servizi finanziari, a server FTP e SSH. In pratica, consiste nel provare tutte le possibili combinazioni di lettere, caratteri speciali e numeri che viene, ovviamente, eseguita da un software.
Il tempo di riuscita dell’impresa dipende dalla velocità di calcolo del computer, nonché dalla complessità e la lunghezza della password utilizzata.
Il così detto attacco a dizionario, una variante del brute force
Una variante dell’attacco a forza bruta è l’attacco “a dizionario” che consente di provare a decifrare un codice o una password, vagliando un numero finito di stringhe di solito già generate, come ad esempio parole comuni. Un dizionario, appunto, che viene fornito al software. Così i tempi di ricerca si riducono.
Non è detto che il sistema si riveli efficace, anche se spesso ha buone probabilità di successo perché la maggior parte delle persone tende a usare password semplici da ricordare (il nome proprio, quello di persone care, o date di nascita), scegliendo parole prese dalla propria lingua nativa. Esistono diversi strumenti per creare dizionari efficaci per attacchi brute force, come Crunch, disponibile in diverse distribuzioni Linux.
Uno dei più grandi attacchi di forza bruta ha preso di mira GitHub, la piattaforma utilizzata dagli sviluppatori per condividere i loro progetti software. Questo è stao nel 2013, quando i cyber criminali hanno usato una lista di nomi utenti e password – che avevano recuperato attraverso un attacco precedente – e puntato a carpire le credenziali GitHub di migliaia di utenti. GitHub ha avvisato i proprietari degli account compromessi, anche se non ha mai rivelato pubblicamente il numero delle persone coinvolte.
Come difendersi dagli attacchi brute force
La miglior protezione è una buona password, che dobbiamo imparare a considerare importante al pari delle chiavi di casa. La maggior parte delle persone, invece, ne sottovaluta la rilevanza e per comodità sceglie combinazioni facili. Basti pensare che nel 2016 la password più utilizzata è stata “123456”, mentre il secondo posto è andato alla parola “password”, e il terzo al codice “12345678”. Un altro errore fatto molto spesso è quello di usare la stessa parola ripetuta al contrario. Una leggerezza che il cybercrime conosce molto bene: infatti, in Rete esistono decine di programmi gratuiti che sfruttano gli schemi comuni, permettendo di decifrare password poco complesse.
Una buona pratica per mettere a punto una password sicura è ideare parole chiave che utilizzino una combinazione di lettere maiuscole, minuscole, numeri e caratteri speciali. La si può ottenere, senza per forza rinunciare alla memoria. Un esempio sono gli acronimi di una frase semplice e rappresentativa come:
Io mi chiamo Giorgio e ho 1 Mamma
che diventa:
ImcGeh1M
Un’altra soluzione è l’utilizzo di un generatore di password. WordPress stesso ti da la possibilità di generare password complesse e casuali al momento di scegliere la vostra password.
Il brute force attack è l’ultima possibilità per gli hacker per poter rubare i tuoi dati sensibili, ma ci sono tanti altri modi per entrare nel tuo sito e mettere a repentaglio il lavoro fatto. In tutti i casi conviene proteggere il sito in wordpress e renderlo sicuro.
Ti sembra troppo complicato farlo da te? Non hai tempo? Puoi richiedere il servizio di assistenza rapida che con una spesa minima risolverà il problema.
Contattaci subito!