Possiamo paragonare l’attacco brute force (in italiano a forza bruta) a una sorta di anagramma. Solo che il suo obiettivo non è la formazione di nuove parole, ma individuare la password che permette di accedere a un determinato sistema informatico, provando tutte le combinazioni possibili. Fino a che non si trova quella giusta.
In genere, è usato dai cracker per sgraffignare informazioni sensibili o diffondere malware. Un metodo che viene considerato a mo’ di ultima spiaggia, quando non rimane altro da tentare, perché è per natura poco efficiente: può richiedere un elevatissimo numero di tentativi e un lungo tempo d’esecuzione.
Indice degli argomenti
Che cos’è il metodo di attacco brute force
In ambito crittanalitico, gli attacchi a forza bruta si usano per trovare la chiave di un sistema che sfrutta un algoritmo, cioè una procedura che segue passaggi ben precisi, per eseguire operazioni di cifratura e decifratura. Un esempio famoso è Enigma, la macchina impiegata dalle forze armate tedesche durante il periodo nazista e la seconda guerra mondiale, per codificare e decodificare i propri messaggi: soltanto chi era in possesso di un’altra macchina Enigma e di una serie apposita di codici poteva leggerli.
Nel 1939 i servizi segreti polacchi erano riusciti a decifrare alcune versioni semplificate di Enigma. Ma i lavori si trasferirono nel Regno Unito dopo l’inizio della guerra, quando i codici divennero troppo complessi per le risorse a disposizione dei polacchi. Tra gli scienziati al lavoro sul progetto c’era anche il noto matematico Alan Turing che ideò una macchina più efficace per decifrare i codici. Un sistema che ha contribuito in modo significativo ad aiutare i soldati alleati. Tutto proprio attraverso un attacco a forza bruta.
Quando si parla di sicurezza informatica, invece, il metodo viene utilizzato soprattutto per trovare la password che consente l’accesso a un sistema. Quest’ultima, a differenza della chiave crittografica che solitamente è generata in modo casuale, è spesso ideata da un essere umano, quindi è meno complessa.
Cosa fa un attacco brute force
Un attacco brute force può essere sfruttato per recuperare qualunque tipo di password. Da quella che usiamo per Gmail a quella di Facebook, passando per la chiave che ci permette di accedere ai nostri servizi finanziari, a server FTP e protocollo SSH. In pratica, consiste nel provare tutte le possibili combinazioni di lettere, caratteri speciali e numeri finché non individua la mescolanza giusta. Un’operazione che viene, ovviamente, eseguita da un software.
Il tempo di riuscita dell’impresa dipende dalla velocità di calcolo del computer, nonché dalla complessità e la lunghezza della password (quanti e quali caratteri sono stati utilizzati).
Attacco a dizionario, la variante (tipologia) del brute force
Una variante dell’attacco a forza bruta è l’attacco “a dizionario” che consente di provare a decifrare un codice o una password, vagliando un numero finito di stringhe di solito già generate, come ad esempio parole comuni. Un dizionario, appunto, che viene fornito al software. Così i tempi di ricerca si riducono.
Non è detto che il sistema si riveli efficace, anche se spesso ha buone probabilità di successo perché la maggior parte delle persone tende a usare password semplici da ricordare (il nome proprio, quello di persone care, o date di nascita), scegliendo parole prese dalla propria lingua nativa. Esistono diversi strumenti per creare dizionari efficaci per attacchi brute force, come Crunch, disponibile in diverse distribuzioni Linux.
I principali software per fare attacchi brute force
Hydra è lo strumento per eccellenza quando si tratta di effettuare attacchi brute force, soprattutto se nel mirino c’è un servizio d’autenticazione remota. È molto potente e supporta oltre cinquanta protocolli, tra cui telnet, ftp, http, https, e smb.
Hashcat si definisce come il software per il recupero password “più veloce al mondo”. Ha avuto un codice proprietario fino al 2015, ma ora è rilasciato come “free software”. Sono disponibili versioni per Linux, OS X, e Windows. La sua particolarità sta nel fatto che per gli attacchi consente di poter sfruttare la potenza di calcolo dei processori grafici (GPU), oltre che della più classica CPU.
JTR è un software open source che permette di effettuare attacchi di tipo dizionario o brute force. Inoltre rileva automaticamente dall’hash, il tipo di cifratura usato. È disponibile per ogni sistema operativo, Windows, Linux e Mac Os, e si può scaricare gratuitamente dal sito OpenWall. Anche se esite una versione pro a pagamento.
Esempi dei più famosi attacchi brute force
Il più grande attacco brute force della storia recente ha preso di mira GitHub, la piattaforma “social” utilizzata dagli sviluppatori per condividere i loro progetti software. Tutto è accaduto nel 2013, quando i cyber criminali hanno usato una lista di nomi utenti e password – che avevano recuperato attraverso un attacco precedente – e puntato a carpire le credenziali GitHub di migliaia di utenti. GitHub ha avvisato i proprietari degli account compromessi, anche se non ha mai rivelato pubblicamente il numero delle persone coinvolte.
21 milioni di account. Sono stati quelli compromessi a causa di un attacco brute force che ha preso di mira gli utilizzatori di TaoBao, piattaforma di e-commerce del colosso cinese Alibaba. Un episodio che si è verificato tra ottobre e novembre 2015. Anche in questo caso è stato usato un database di nomi e password sgraffignato altrove, l’attacco si è rivelato efficace in un caso su cinque. Una dimostrazione del fatto che gli utenti tendono a usare sempre le stesse, cattive, password.
A rilevare l’attacco è stata Cloudfare, il popolare provider che fornisce supporto contro gli attacchi DDoS. L’obiettivo era la piattaforma per l’auto-pubblicazione WordPress che il 13 aprile 2013, in appena un’ora, è stata presa di mira da 60 milioni di richieste brute force. Per fortuna sono stati pochi i siti compromessi nel processo.
Come difendersi dagli attacchi brute force
La miglior protezione è una buona password, che dobbiamo imparare a considerare importante al pari delle chiavi di casa. La maggior parte delle persone, invece, ne sottovaluta la rilevanza e per comodità sceglie combinazioni facili. Basti pensare che nel 2016 la password più utilizzata è stata “123456”, mentre il secondo posto è andato alla parola “password”, e il terzo al codice “12345678”. Un altro errore fatto molto spesso è quello di usare la stessa parola ripetuta al contrario. Una leggerezza che il cybercrime conosce molto bene: infatti, in Rete esistono decine di programmi gratuiti che sfruttano gli schemi comuni, permettendo di decifrare password poco complesse.
La differenza tra attaccare una chiave crittografica e una password è che la seconda viene generata dagli umani ed è normalmente molto più semplice, in termine di tentativi, da decriptare.
Una buona pratica per mettere a punto una password sicura è ideare parole chiave che utilizzino una combinazione di lettere maiuscole, minuscole, numeri e caratteri speciali. La si può ottenere, senza per forza rinunciare alla memorabilità. Un esempio sono gli acronimi di una frase semplice e rappresentativa come:
Io mi chiamo Alessio e ho 1 sorella
che diventa:
ImcAeh1S
Un’altra soluzione è l’utilizzo di un generatore di password. Online se ne trovano molti gratuiti e affidabili come PC Tools Secure Password Generator, Strong Password Generator, e Password Savy.
Come difendersi da ogni tipo di attacco online
Quotidianamente gli utenti devono assicurarsi una buona difesa contro una serie di insidie e attacchi dal web. Oggi esistono numerosi software che consentono di creare una protezione per ogni tipo di dispositivo.
NordPass, metti al sicuro le tue password
Compatibilità: Windows, Mac, Android, iOS, Linux
Estensioni web: Chrome, Firefox, Edge, Safari, Opera, Brave
Crittografia: XChaCha20
2FA: ✓
Compilazione automatica: ✓
Versione Gratuita: ✓
Prezzo: da 1,29 €/mese
NordPass è uno strumento per la gestione sicura e intelligente delle credenziali. Pensato per semplificare la quotidianità degli utenti, offre una gamma completa di funzionalità pensate per proteggere dati sensibili e identità digitale.
Tra le sue caratteristiche principali spiccano il salvataggio e la compilazione automatica delle password, l’archiviazione crittografata, la sincronizzazione multi-dispositivo, il controllo della salute delle credenziali e uno scanner attivo per individuare eventuali violazioni di dati personali. Il servizio permette inoltre di allegare file in modo sicuro e di mascherare gli indirizzi e-mail per ridurre il rischio di spam e furti d’identità.
Oltre all’uso personale NordPass propone piani aziendali dedicati ideali per migliorare la sicurezza IT interna e la gestione centralizzata delle credenziali. Le funzionalità includono: integrazione con Google Workspace SSO, dashboard di sicurezza per amministratori, cartelle condivise per i team, compatibilità con i principali provider di Single Sign-On, come Entra ID, Microsoft ADFS e Okta.
Sono disponibili sconti interessanti su tutti i principali abbonamenti:
- piano Premium individuale è proposto a una tariffa mensile ridotta;
- piano Family che consente l’uso simultaneo su fino a sei account, è anch’esso in promozione.
Tutti i pacchetti includono una garanzia di rimborso di 30 giorni, offrendo così la possibilità di testare il servizio senza impegno.
NordLocker, file sicuri con la crittografia
⚡ Velocità upload: Veloce
🔄️ Accesso ai file offline: ✔️
💰 Costo: da 2,99 €/mese
📱 Mobile: Android, iOS
💻 Desktop: Windows, macOS
🔐 Sicurezza: AES-256
🧑💻 Facilità di utilizzo: Molto facile
🔥 Offerte attive: SCONTO fino al 53%
NordLocker protegge i file da accessi non autorizzati è essenziale sia per gli utenti privati che per le aziende con una soluzione completa per la crittografia, il backup e la sincronizzazione dei dati garantendo la massima sicurezza sia in locale che su cloud. Il cuore del servizio è la crittografia end-to-end, che assicura che solo il proprietario possa accedere ai propri file indipendentemente da dove siano archiviati.
Le funzionalità principali:
- Crittografia dei file locali e nel cloud: Ogni contenuto è cifrato automaticamente, proteggendo dati archiviati su disco o online;
- Backup e sincronizzazione sicura: I file possono essere sincronizzati su più dispositivi, mantenendo l’accesso sicuro e costante;
- Condivisione protetta: É possibile inviare file o interi “locker” criptati ad altri utenti, mantenendo il pieno controllo su chi può accedervi;
- Assistenza prioritaria 24/7: Il supporto tecnico è sempre disponibile, in qualsiasi momento.
NordLocker propone una promozione sul piano Premium con uno sconto del 53% che include: - Crittografia continua dei file in locale e su cloud;
- Backup e sincronizzazione sicura su più dispositivi;
- Condivisione avanzata con controllo degli accessi;
- Supporto tecnico prioritario, 24 ore su 24.
Inoltre, tutti gli abbonamenti sono coperti da una garanzia di rimborso di 30 giorni, che consente di provare il servizio in totale tranquillità.
1Password, salva e gestisci tutte le tue credenziali
Compatibilità: Windows, Mac, Android, iOS, Linux
Estensioni web: Chrome, Firefox, Edge, Safari, Opera, Brave
Crittografia: AES-256
2FA: ✓
Compilazione automatica: ✓
Versione Gratuita: ❌
Prezzo: da 2,65 €/mese
In un mondo digitale dove ogni servizio richiede una nuova credenziale ricordare tutte le password è diventato impraticabile e usare combinazioni deboli o ripetute espone a gravi rischi per la sicurezza. Una soluzione arriva da 1Password, un gestore di password pensato per semplificare la vita digitale degli utenti.
La piattaforma consente di salvare e compilare automaticamente le credenziali all’interno del browser, evitando la necessità di memorizzarle manualmente. Inoltre, grazie al suo generatore integrato, 1Password crea password robuste e uniche, le sincronizza tra i dispositivi e ne monitora costantemente la sicurezza.
Uno dei punti di forza di 1Password è l’attenzione alla privacy. Tutti i dati sono protetti da crittografia end-to-end, il che significa che solo l’utente ha accesso alle proprie informazioni. I dati non vengono mai condivisi o venduti, garantendo un livello di riservatezza ideale sia per l’uso personale che professionale.
Funzionalità principali di 1Password:
- Watchtower: Sistema di allerta che avvisa in tempo reale se una password è compromessa o un sito è stato violato;
- Archiviazione sicura: Non solo password ma anche carte di credito, indirizzi, chiavi SSH, token API e altri dati sensibili;
- Condivisione protetta: Possibilità di condividere credenziali in modo sicuro anche con utenti che non utilizzano 1Password;
- Compatibilità multipiattaforma: Supporta macOS, Windows, iOS, Android, Linux, ed è integrabile con tutti i browser più diffusi (Chrome, Firefox, Safari, Edge, Brave).
- Supporto globale: Un team dedicato è sempre disponibile per offrire assistenza e risorse gratuite.
1Password offre diverse opzioni di abbonamento, adatte a singoli, famiglie, aziende e team.Ogni piano include una prova gratuita di 14 giorni, per testare tutte le funzionalità prima di scegliere la soluzione più adatta.
Incogni, elimina i tuoi dati personali dal web
I dati personali vengono costantemente raccolti, analizzati e rivenduti e possono finire nelle mani di terze parti con conseguenze dirette su privacy, sicurezza e reputazione online. Per contrastare questa pratica nasce Incogni, un servizio automatizzato che aiuta gli utenti a rimuovere le proprie informazioni personali dai database dei data broker, riducendo in modo concreto il rischio di spam, truffe e furti d’identità.
- Incogni opera in modo semplice ma efficace: utilizza i dati forniti dall’utente per effettuare scansioni periodiche sui principali siti di raccolta dati e motori di ricerca persone. Quando rileva una corrispondenza, invia richieste ufficiali di rimozione ai broker coinvolti, nel pieno rispetto delle normative sulla protezione dei dati personali, come il GDPR in Europa e il CCPA negli Stati Uniti.
Funzionalità principali: - Rimozione automatizzata dei dati: Incogni gestisce l’intero processo di cancellazione contattando direttamente i data broker;
- Monitoraggio continuo: Effettua controlli regolari per assicurarsi che le informazioni non vengano nuovamente raccolte;
- Report aggiornati: L’utente riceve notifiche e resoconti sullo stato delle richieste e sull’avanzamento delle rimozioni.
Incogni propone piani su misura per utenti singoli e per famiglie con opzioni di fatturazione mensile o annuale. Tutti i pacchetti includono una garanzia di rimborso di 30 giorni, che permette di testare il servizio in completa tranquillità.
Kaspersky Plus, una barriera contro diverse minacce
Massimo dispositivi: 5
Versione Free: Prova gratuita di 30 giorni
Sistemi Operativi: Windows, macOS, Android, iOS
Dark Web Monitoring: ✔
Protezione minori: ✔
VPN: inclusa
Offerte attive: SCONTO fino al 45% 🔥
Kaspersky Plus propone una soluzione avanzata e integrata, progettata per proteggere ogni aspetto della tua vita digitale. Il software combina intelligenza artificiale proattiva con strumenti dedicati alla privacy, alla sicurezza dei dati e all’ottimizzazione delle prestazioni dei dispositivi. Kaspersky è in grado di identificare e bloccare in tempo reale anche minacce nuove e non ancora catalogate garantendo una barriera efficace contro virus, malware, ransomware e spyware.
Kaspersky agisce in background per:
- Tutelare la privacy impedendo accessi indesiderati alla webcam e blocchi dei tracciamenti online;
- Proteggere i pagamenti, attivando un browser sicuro durante acquisti e operazioni bancarie;
- Monitorare la rete domestica, segnalando eventuali intrusioni e verificando la sicurezza di siti e messaggi e-mail.
Funzionalità e vantaggi di Kaspersky Plus: - Sicurezza avanzata: Difesa contro phishing, virus e hacker, con firewall integrato e aggiornamenti costanti contro le minacce emergenti;
- Strumenti per le prestazioni: Funzioni per ottimizzare il sistema, migliorare la velocità del dispositivo e monitorare l’integrità dell’hardware, come lo stato del disco rigido;
- Privacy e protezione dei dati: Include una VPN illimitata per navigare in modo sicuro e anonimo, e un Password Manager per gestire credenziali e dati sensibili in modo sicuro e centralizzato;
- Compatibilità multi-dispositivo: Kaspersky Plus è disponibile per Windows, macOS, Android e iOS. Che tu stia utilizzando uno smartphone, un tablet o un PC, puoi contare su una protezione affidabile e uniforme, sempre attiva.
Norton, proteggi tutti i tuoi dispositivi
Massimo dispositivi: 10
Versione Free: prova gratuita di 30 giorni
Sistemi Operativi: Windows, macOS, Android, iOS
Dark Web Monitoring: ✔
Protezione minori: ✔
VPN: ✔
Offerte attive: SCONTO fino al 66% (per il primo anno) 🔥
Smartphone, tablet e computer sono diventati parte integrante della nostra identità ma la loro sicurezza è spesso sottovalutata. Norton, leader nel settore della cybersecurity, offre una gamma completa di soluzioni pensate per utenti privati e famiglie garantendo protezione efficace contro le minacce più diffuse, come app dannose, phishing e reti Wi-Fi non sicure.
I principali piani Norton
Norton AntiVirus Plus
Protezione per 1 dispositivo (PC o Mac)Difesa contro virus, malware, ransomware e hacker
Password Manager per una gestione sicura delle credenziali
2 GB di backup nel cloud (solo per PC)
Promessa Protezione Virus 100%: rimborso garantito se il virus non può essere rimosso
Norton 360 Standard
Protezione per 1 dispositivo (PC, Mac, Android o iOS)Tutte le funzioni di AntiVirus Plus, più:
VPN sicura per una navigazione anonima e protetta
SafeCam per bloccare accessi non autorizzati alla webcam (su PC)
10 GB di backup nel cloud
Norton 360 Deluxe
Protezione per fino a 5 dispositivi
Tutte le funzionalità di Standard, con l’aggiunta di:
Parental Control per monitorare l’attività online dei minori
Dark Web Monitoring per ricevere avvisi in caso di esposizione dei dati personali
50 GB di backup nel cloud
Norton 360 Advanced
Protezione estesa per fino a 10 dispositivi. Include tutto ciò che offre Deluxe, più:
Assistenza per il ripristino dell’identità in caso di furto
Supporto in caso di furto del portafoglio
Monitoraggio dei social media per rilevare attività sospette
200 GB di backup nel cloud
Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
