Che cos’è un attacco brute force — e come minaccia le tue password.
Tipi comuni, dagli attacchi a dizionario al credential stuffing.
Come prevenire gli attacchi brute force con rate limiting, 2FA e altro.
I migliori strumenti e le migliori difese per la tua piattaforma.
Domande frequenti.
Sebbene gli attori delle minacce escogitino continuamente modi nuovi e sofisticati per hackerare o violare i siti web, esistono alcuni metodi classici che continuano a esistere. Pur essendo semplici, si dimostrano ancora ampiamente efficaci. Uno di questi metodi sono gli attacchi brute force.
È uno dei metodi di attacco informatico più antichi e rimane popolare tra gli hacker. Può sembrare rudimentale, ma è essenziale sapere come proteggersi dai danni. Continua a leggere per conoscere la definizione di attacco brute force, i rischi e cosa puoi fare per prevenirlo.
Che cos’è un attacco brute force nella cybersecurity?
Un attacco brute force è un metodo di hacking che usa tentativi ed errori per indovinare credenziali di accesso, chiavi di crittografia o pagine web nascoste. Si chiamano attacchi brute force perché è esattamente questo che comportano. Gli attori malevoli tentano di ottenere accesso non autorizzato ad account o reti attraverso un eccessivo numero di tentativi ed errori. Questo processo può richiedere solo pochi minuti oppure diversi anni.
Un esempio tipico è usare più combinazioni di nome utente e password per cercare di accedere a un account. Possono indovinare la password usando password comuni, precedenti fughe di password o facendo ricerche sulle informazioni personali del bersaglio, come date di nascita o nomi di animali domestici. Questo può essere fatto manualmente o con software specializzati, che lo rendono molto più rapido.
Gli attacchi brute force possono verificarsi su qualsiasi piattaforma online. Secondo Group-IB, le applicazioni web e i portali, come i portali degli account cliente e i pannelli di amministrazione dei sistemi di gestione dei contenuti (CMS), come WordPress, rappresentano il 43% degli attacchi brute force. Seguono poi gli accessi a reti e server, quindi gli account email e dei social media.
Come funziona un attacco brute force?
Un tipico attacco brute force può essere suddiviso in tre fasi principali:
1. Scelta di un obiettivo
Ci sono diversi motivi per cui una persona o un’organizzazione potrebbe essere presa di mira da un attacco brute force. Informazioni preziose come dati privati dei clienti, informazioni finanziarie o proprietà intellettuale sono importanti, ma lo è anche la facilità di accesso. Gli attori malevoli cercheranno sistemi con difese deboli, ad esempio software obsoleto o policy sulle password inadeguate che non prevedono l’implementazione dell’autenticazione a più fattori (MFA).
2. Avvio dell’attacco
Questo può avvenire manualmente, ma più comunemente gli aggressori usano software e bot, poiché è molto più efficiente e può essere automatizzato. Esistono diversi tipi di attacco, di cui parleremo più avanti, ma in genere tenteranno di accedere a un portale con numerose possibili combinazioni di credenziali. Per evitare il rilevamento e aumentare le probabilità di successo, gli aggressori potrebbero usare una botnet per distribuire i tentativi su varie macchine e indirizzi IP. Questo riduce la probabilità di blocchi dell’account o di limitazione della frequenza.
3. Ottenere l’accesso
Se l’aggressore trova una combinazione corretta ed evita il rilevamento da parte dei sistemi di sicurezza, può accedere al sistema o all’account bersaglio. Dopodiché, può rubare dati o penetrare ulteriormente nel sistema e lanciare un attacco malevolo, ad esempio infettandolo con malware o interrompendo il servizio.
Oggigiorno è raro che gli aggressori eseguano manualmente attacchi brute force. Gli strumenti specializzati sono molto più pratici, poiché possono trovare le combinazioni corrette di password o gli ID di sessione molto più velocemente di quanto potrebbe fare una persona.
Tra gli strumenti più diffusi per gli attacchi brute force ci sono:
Aircrack-ng – monitora ed esporta dati tramite la sicurezza delle reti Wi-Fi, lanciando attacchi come falsi punti di accesso e iniezioni di pacchetti.
John the Ripper – uno strumento open source per il cracking delle password usato sia da hacker etici sia da hacker malevoli.
Hydra – una piattaforma open source che può provare rapidamente molte combinazioni di password e può attaccare oltre 50 protocolli e più sistemi operativi.
Quali sono i diversi tipi di attacchi brute force?
Sebbene lo scopo di ogni attacco brute force sia essenzialmente lo stesso, il modo in cui gli hacker lo portano avanti può variare. Studia la tabella qui sotto per familiarizzare con i diversi tipi di attacchi brute force e con ciò che comportano.
Perché gli attacchi brute force sono pericolosi?
Come qualsiasi attacco informatico, gli attacchi brute force possono rendere vulnerabili gli utenti Internet e le attività online in diversi modi, tra cui:
Rischio di compromissione dell’account – per gli utenti, questo può comportare furto di dati e perdite finanziarie, mentre le aziende affrontano danni reputazionali ed economici.
Furto d’identità – se gli hacker accedono alle informazioni personali di qualcuno, possono usarle per commettere frodi a suo nome, dall’apertura di conti all’ottenimento di prestiti.
Violazioni della rete (RDP brute force) – gli attori delle minacce possono ottenere accesso a più computer, diffondendo malware o ransomware in tutta la rete.
Costo della risposta – le violazioni dei dati aziendali spesso comportano tempi di inattività operativa, indagini costose, multe e altro ancora.
Come prevenire un attacco brute force
Sebbene le conseguenze di un attacco brute force possano essere gravi, fortunatamente possono essere prevenute con alcune semplici misure di sicurezza.
1. Protezione dell’accesso
La prevenzione degli attacchi brute force inizia dalla pagina di accesso. Ecco alcune misure chiave da adottare:
Abilita 2FA/MFA – se gli hacker riescono a indovinare correttamente una password, questo livello aggiuntivo di protezione impedirà loro di andare oltre.
Usa CAPTCHA dopo accessi non riusciti – per i tentativi automatizzati di brute force, CAPTCHA può impedire a bot e software di ottenere accesso agli account.
Blocca i tentativi di accesso ripetuti – usa il rate limiting, che limita i tentativi di accesso in un determinato intervallo di tempo, oppure il blocco IP, che blocca gli IP per comportamento sospetto.
2. Sicurezza delle password
L’igiene delle password è un elemento fondamentale ma troppo spesso trascurato della sicurezza online. Password come “123456” e “password” non sono più sufficienti nel panorama digitale di oggi. Quindi assicurati di:
Applicare policy sulle password robuste
Richiedere passphrase o password casuali lunghe
Usare una combinazione di numeri, caratteri, simboli e maiuscole/minuscole
Non includere informazioni personali, come il nome di un animale domestico o la data di nascita
Evita di riutilizzare le password su più piattaforme
Usa un buon gestore di password per archiviare in sicurezza e tenere traccia delle password
3. Difese a livello di rete
È essenziale avere misure di sicurezza anche oltre la pagina di accesso.
Usa un web application firewall (WAF) – meccanismi come rate limiting, rilevamento dei bot e geo-blocking identificano e mitigano i tentativi di brute force.
Limita l’accesso ai portali di login – alcuni modi per farlo includono limitare l’accesso a IP specifici o consentire l’accesso solo tramite VPN.
Monitora i tentativi di accesso non riusciti – usa strumenti di security information and event management (SIEM) per monitorare, analizzare e avvisarti di qualsiasi attività sospetta.
Quali strumenti aiutano a fermare gli attacchi brute force?
Ecco come fermare un attacco brute force usando una gamma di strumenti gratuiti e a pagamento.
Come rilevare se sei sotto attacco brute force
Se usi una piattaforma con funzionalità di sicurezza integrate e implementi gli strumenti giusti, dovresti essere in grado di rilevare se sei sotto attacco o se è stato tentato un attacco brute force. Fai attenzione a segnali come:
Un picco nei tentativi di accesso non riusciti.
Anomalie nei log, ad esempio lo stesso IP che tenta più volte.
Avvisi di sicurezza dal tuo hosting o CDN.
Come scegliere la giusta difesa brute force per il tuo sito web
La scelta della difesa brute force adeguata per il tuo sito dipenderà da alcuni fattori. Ecco alcuni passaggi per proteggere il tuo sito in modo appropriato:
1. Valuta la tua piattaforma
Il tuo sito è ospitato su WordPress, su una piattaforma site builder/software-as-a-service (SaaS) o su un backend personalizzato creato interamente da te? Questo influirà sul tipo di protezione che puoi implementare e su quanto controllo hai su di essa.
2. Scegli una protezione appropriata
Conosci la tua piattaforma, quindi ecco quale protezione è migliore:
WordPress – aggiungi facilmente plugin per proteggere il tuo sito, come plugin di sicurezza che includono WAF, CAPTCHA e limitazione degli accessi. Puoi anche cambiare l’URL della tua pagina di accesso.
Site builder/SaaS – queste piattaforme di solito gestiscono la sicurezza e la protezione dell’accesso, quindi assicurati che siano attive. La personalizzazione di solito è limitata.
Backend personalizzato – dovrai aggiungere tu stesso il codice, ad esempio il rate limiting, a livello di server. Hai il pieno controllo su ciò che puoi implementare.
3. Aggiungi MFA per tutti gli utenti
Qualunque sia la piattaforma del tuo sito web, il livello aggiuntivo di protezione offerto da MFA è essenziale per la protezione dal brute force.
WordPress – Alcuni plugin, come WP 2FA e Wordfence, ti consentono di rendere MFA obbligatoria per tutti gli utenti.
Site builder/ SaaS – la maggior parte delle piattaforme moderne dovrebbe offrire un modo per implementarlo nelle impostazioni dell’account.
Backend personalizzato – usa app di autenticazione o WebAuthn, come le passkey.
4. Monitora regolarmente i log
Tutti i programmi, i software, i sistemi e le app generano registrazioni di eventi note come log. Monitorare determinati tipi di log, come i tentativi di accesso e le attività di sistema, può aiutarti a tenere sotto controllo il funzionamento di tutto.
Per WordPress, un plugin come WP Security Activity Log renderà facile il monitoraggio dei log. Per i website builder, dovrai esaminare la relativa sezione del registro attività, anche se il livello di dettaglio varierà. Per i backend personalizzati, configura log di accesso strutturati che tengano traccia degli accessi riusciti e non riusciti con IP e nome utente, quindi centralizza tali log. Attiva avvisi o blocchi automatici quando compaiono schemi sospetti, come picchi di errori ripetuti da un IP specifico.
Paragrafo finale
Ora dovresti avere una buona idea di cosa sia un attacco brute force e di cosa comporti. Fortunatamente, sebbene le conseguenze di questi attacchi possano essere gravi, sono facilmente prevenibili. Usando le indicazioni di questo articolo, prenditi il tempo per rivedere le tue attuali impostazioni e abitudini di sicurezza dell’accesso e apporta miglioramenti dove necessario. Se ti interessa una piattaforma con protezione integrata, dai firewall alla prevenzione delle intrusioni, scopri come Spaceship protegge tutti gli account hosting.
Domande frequenti
Un attacco brute force prova tutte le possibili combinazioni di caratteri per indovinare una password. Al contrario, un attacco a dizionario usa un elenco predefinito di credenziali trapelate, oltre a parole, frasi e nomi comuni. Sebbene un normale brute force possa richiedere tempo, è più efficace contro password complesse. Gli attacchi a dizionario sono più efficaci contro password deboli e prevedibili.
È impossibile rendere il tuo sito completamente impossibile da hackerare, e questo vale anche per gli attacchi brute force. Tuttavia, possono essere resi praticamente impossibili con difese a più livelli, come protezione dell’accesso, igiene delle password e una buona sicurezza di rete.
Sì, tentare un attacco brute force è illegale nella maggior parte dei Paesi. Tuttavia, i professionisti della sicurezza autorizzati possono farlo legalmente se il proprietario di un sistema consente loro di usare il brute force per testare quanto sia sicuro il suo sito web o sistema.
Questo dipende dalla complessità della tua password. Una password debole come “password” richiederebbe solo pochi minuti. Qualcosa con simboli e caratteri diversi potrebbe richiedere un paio d’ore. Ma se hai un livello aggiuntivo di protezione come la crittografia o l’autenticazione a più fattori, potrebbero volerci anni.


Condividi i tuoi pensieri