Navigaweb.net

Migliori siti, programmi e applicazioni su Navigaweb.net

Programmi Guide PC Tecnologia Sicurezza Windows Rete iPhone Android Facebook Immagini Musica Giochi

Cosa sono gli attacchi Brute Force per scovare password e chiavi

Pubblicato il: 18 luglio 2013 Aggiornato il:
Appuntid'informatica: cosa sono gli attacchi Forza Bruta o Brute Force e come scoprono le password e le chiavi di crittografia
attacchi forza bruta Gli attacchi brute-force sono abbastanza semplici da capire, ma difficile da contrastare.
Anche un sistema di crittografia complesso può oggi essere forzato da un attacco brute-force (o forza bruta) portato avanti da una serie di computer veloci.
Questi attacchi di Forza Bruta possono essere lanciati contro qualsiasi tipo di crittografia, e diventano sempre più veloci e più efficaci ogni volta man mano che vengono prodotti computer sempre più potenti.

Gli attacchi di forza bruta o "Brute-force" in campo informatico sono piuttosto semplici da capire.
Avendo un programma protetto da password, un hacker che vuole decifrarla comincia a provare, in serie, ogni combinazione di caratteri, simboli lettere o numeri fino a che non viene trovata la chiave giusta.
Ovviamente questi tentativi non vengono fatti a mano, ma in modo automatico con un programma per computer che è tanto più veloce quanto potente è il computer utilizzato.
L'attacco a forza bruta inizia partendo con chiavi da un carattere, poi con due e cosi via fino a quando può.
Un "attacco dizionario" (dictionary attack) è simile a quello di forza bruta ma cerca parole scritte in un dizionario che è un elenco di password comuni.
In pratica, invece di provare tutte le possibili combinazioni di password si provano quelle parole più usate dalle persone come, ad esempio, i nomi propri, nomi di città, nomi di calciatori, anni e date e cosi via.

Tenere presente che le password e le chiavi di crittografia sono cose diverse: la chiave è generata in modo totalmente casuale mentre una password deve essere ricordata e inserita manualmente quindi è una parola più semplice.
Trovare la chiave di crittografia è difficile e necessità di un attacco Brute Force mentre le password si trovano con semplici attacchi dizionario.

Gli attacchi di forza bruta non funzionano per i siti web.
C'è una differenza netta tra un attacco brute-force online ed uno offline.
Ad esempio, se un utente malintenzionato volesse rubarmi la password di Gmail, non potrebbe trovare la mia password provando le varie combinazioni sul sito di Gmail perchè Google lo impedisce.
Dopo vari tentativi infatti blocca l'accesso chiedendo di inserire un codice Captcha per evitare che qualche programma automatico tenti l'accesso.
I servizi che forniscono l'accesso agli account online come anche Facebook fermano i tentativi di accesso e di chi tenta di accedere troppe volte sbagliando password.

D'altra parte, se l'hacker avesse accesso ad un computer che ha un programma di gestione delle password con chiave crittografata può avere tutto il tempo di lanciare un attacco di forza bruta o con dizionario tenendolo attivo fino a che non si trova la password.
Non c'è modo allora di impedire che vengano provate un gran numero di password in un breve periodo di tempo.
Teoricamente nessuna crittografia è invincibile anche se può volerci oltre un mese per rompere le resistenze più dure.

Hashing
Algoritmi di hashing forti possono rallentare gli attacchi di forza bruta.
Questi algoritmi di Hash come SHA1 e MD5 svolgono un lavoro matematico supplementare su una password prima di memorizzarla.
Un attacco di forza bruta sarà molto più lento con una crittografia Hash.

La Velocità di un attacco Brute-Force dipende tutta dall'hardware usato.
Le agenzie di intelligence possono costruire un hardware specializzato solo per trovare chiavi di crittografia.
Come dato indicativo sul sito Ars Tecnica viene riportato che un gruppo di 25-GPU potrebbe craccare ogni password Windows fino a 8 caratteri in meno di sei ore. L'algoritmo Microsoft NTLM utilizzato non è più abbastanza resistente, ma lo era nel tempo in cui era stato creato.

Proteggere i nostri dati da attacchi a forza bruta.
Non c'è modo di proteggere se stessi completamente, ma è improbabile che qualcuno riversi contro di noi, comuni mortali, attacchi di forza bruta di alto livello.
Non è quindi il caso di preoccuparsi troppo di subire questo tipo di attacchi informatici così complessi.
Comunque sia è importante tenere al sicuro i dati crittografati cercando di non farvi accedere nessuno ed usare password sicure autogenerate (quindi chiavi di crittografia)
Il problema piuttosto è quello di difendersi dagli attacchi di ingegneria sociale per rubare dati personali e truffare che non sono basati tanto sulla tecnica quanto sull'ingegno e la furbizia.
Ad esempio mai aprire i messaggi Email che chiedono di accedere via internet al nostro conto in banca per metterlo al sicuro o per approvare nuove regole.
In secondo luogo è comunque sempre importante usare password complesse e seguire i consigli per generare una Password forte per tutti i siti web in modo che possa essere ricordabile.
Si può sempre usare un programma come LastPass o KeePass per gestire le password in modo centralizzato, coprendo tutte le password con una chiave di crittografia.

Scrivi un commento

Per commentare, si può usare un account Google / Gmail.
Se vi piace e volete ringraziare, condividete! (senza commento)