Password deboli: 3 attacchi informatici gravi a cui sei esposto

La scelta e la conservazione delle password rappresentano alcune tra le principali criticità con le quali devono scendere a patti gli utenti.

Sia che si tratti di account privati sia (e soprattutto) che si abbia anche fare con account aziendali, la scelta di una password robusta è il primo passo verso una esperienza sicura in rete.

Anche il ciclo di vita, come pure la gestione e la conservazione delle password hanno un peso rilevante nella sicurezza: contrariamente a quanto si pensa, ad esempio, si è osservato che un cambio troppo frequente delle credenziali non apporta i vantaggi sperati.

Vediamo di fare chiarezza, dando una definizione di password deboli ed analizzando 3 attacchi a cui ci si espone adottandole.

Password Deboli: tutte le caratteristiche
Attacco brute force
Attacco a Dizionario
Attacco Reverse Brute Force
Conclusione

Password Deboli: tutte le caratteristiche

Potremmo definire password debole qualsiasi codice segreto che non rispetti uno o più parametri di robustezza consigliati dagli esperti di sicurezza informatica.

In generale, tali parametri tendono a convergere verso alcune buone norme che sarebbe opportuno adottare.

È bene notare che questi si aggiornano nel tempo, con lo svilupparsi delle tecnologie e, purtroppo, delle capacità di cracking degli hacker.

È dunque necessario tenersi costantemente aggiornati sull’argomento.

L’imperativo rimane quello di formulare le proprie password in modo tale che siano il più difficile possibile da violare.

A tale scopo, possono essere individuati alcuni punti da seguire, grazie ai quali sarà possibile formulare una password con un sufficiente livello di sicurezza.

Evitare password comuni

Questa rappresenta la regola numero uno, imprescindibile se si tiene alla propria riservatezza.

Utilizzare “Password123” o il nome dei propri cari non porta alcun giovamento: gli hacker non cadono nel tranello della psicologia inversa e proveranno a violare i vostri account utilizzando per prime proprio le password più semplici e frequenti, lasciando poi ad un calcolatore l’onere di produrre e usare stringhe più complesse.

Utilizzare password di almeno 12 caratteri

Sul tema della lunghezza delle password, ci sono molti pareri divergenti, specialmente per quanto riguarda il minimo numero di caratteri da impiegare.

Una soglia ragionevole risulta essere quella dei 10 caratteri, sebbene alcuni servizi pongano tale soglia a 12.

È bene notare che la lunghezza di una password non rappresenta l’unico parametro che contribuisce alla sua robustezza. Bisogna tenere conto anche della ‘complessità’.

Se si incontrano dei servizi che impongono un limite superiore alla lunghezza delle password e tale limite ci sembra fastidiosamente basso, si può pensare di compensare questa lacuna aumentando il grado di complessità.

Infine, lunghezza e complessità delle stringhe dipendono anche dal servizio che sono poste a difendere: in alcuni ambiti esse possono superare i 64 caratteri.

Il modo in cui sono gestite e memorizzate le password, però, fa sì che stringhe lunghe usino molte risorse. Basti solo pensare alla necessità di:

aggiungervi sali
crittografarle
archiviarle in modo sicuro

Un dispendio di risorse elevato è giustificato da un’alta criticità del servizio, altrimenti può essere ponderato adeguatamente entro certi limiti.

Complessità

La complessità di una password può essere valutata secondo la presenza di caratteri di varia natura all’interno di una stringa.

Ad esempio, sarebbe opportuno inserire:

lettere sia, minuscole che maiuscole
accompagnate da numeri e caratteri speciali (esempio: ‘@’, ‘.’, ‘[‘, ‘]’ ecc).

Tutto ciò riduce di molto l’efficacia di un attacco brute force da parte di un hacker, poiché si va ad aumentare il tempo richiesto affinché venga individuata la stringa corretta.

Unicità

Anche chi opera con grande cautela sulla rete può cadere vittima di attacchi informatici.

Nell’eventualità in cui questo accada, si vorrà essere già pronti con soluzioni che riducano l’impatto dell’attacco. L’uso di password uniche per ogni account rappresenta un piccolo gesto che può, però, essere molto utile nel limitare i danni.

Infatti, nel momento in cui si adotta la cattiva abitudine di impiegare una stessa password per più account, se un attaccante riuscisse a esfiltrare il codice di sicurezza, potrebbe accedere a molteplici profili con estrema facilità.

Password manager

Per seguire tutti i consigli sopra citati è necessario avere una memoria di ferro: ricordare tutte le password in uso, con tutta la loro complessità, è certamente complicato.

A tal proposito, potrebbe essere una buona idea utilizzare un password manager.

Si tratta di database di password che custodiscono una copia criptata delle vostre parole d’ordine.

In questo modo, si dovrà ricordare una sola master password, per accedere al password manager stesso.

Alcuni password manager, inoltre, offrono la possibilità di generare automaticamente password casuali e sicure di varia lunghezza.

Tutte queste premure serviranno a far sì che gli attacchi portati avanti dagli hacker non abbiano facilmente successo.

Ma a quali attacchi ci si espone adottando password deboli?

Di seguito analizziamo tre esempi esplicativi.

Attacco brute force

L’attacco più diretto che gli hacker possono portare a termine è quello “di forza bruta”, o brute force.

L’idea di base è quella di provare molte combinazioni casuali di stringhe diverse, nel tentativo di indovinare quella corretta.

La produzione e l’applicazione delle stringhe di prova possono avvenire sia manualmente che attraverso l’automazione.

Nel primo caso, l’hacker tenta di indovinare la password in base a varie informazioni che ha raccolto sulla vittima (ingegneria sociale):

attività
abitudini
informazioni pubbliche sui social o sul web

Le stringhe sono poi inserite manualmente dall’attaccante.

Nel secondo caso, essenzialmente, viene implementato un software che genera delle stringhe casuali e le abbina ad una credenziale identificativa (email aziendale, ad esempio).

In questo modo, possono essere provate molte password in breve tempo e, se la parola da trovare non è troppo complessa, si otterrà la stringa corretta.

Questo esempio sottolinea l’importanza di produrre stringhe ragionevolmente lunghe e complesse, che siano così difficili da indovinare per forza bruta e tali da far desistere la maggior parte degli attaccanti.

Attacco a Dizionario

L’arma più diretta adottata dagli hacker per ottenere l’accesso ad un account è, dunque, la tecnica del brute force: forza bruta.

Si tenta l’accesso più volte, finché eventualmente non si riesce a forzare la sicurezza ed entrare nell’account al posto del legittimo proprietario.

Intuitivamente, quindi, password troppo corte agevolano il lavoro degli hacker.

Tuttavia, anche stringhe troppo prevedibili, però, offrono un assist agli attaccanti, specialmente se essi hanno a disposizione un dizionario di password.

Un dizionario, in questo caso, è una collezione di stringhe. Sono password reperite da precedenti leak ed acquistate, spesso, da piattaforme dedicate a questo tipo di mercato illecito.

Purtroppo, dall’analisi di questi leak è possibile osservare che alcune parole d’ordine vengono usate con una certa frequenza dappertutto nel mondo.

Dunque, gli attaccanti producono dei software che provano automaticamente ad effettuare l’accesso agli account utilizzando queste stringhe, le quali hanno maggiore probabilità di essere adottate dalle vittime.

In aggiunta, gli hacker implementano delle soluzioni che modificano sensibilmente ogni stringa, in modo da coprire anche i casi in cui un utente abbia scelto una password prevedibile e ne abbia cambiato alcuni caratteri, nella vana speranza di renderle più sicure.

Quest’ultimo caso, è più frequente di quanto ci si possa aspettare ed è parzialmente dovuto, in ambienti lavorativi, al cambio obbligatorio di password indetto con eccessiva frequenza.

L’attacco a dizionario è tutt’ora molto gettonato, poiché:

è facilmente automatizzabile
garantisce una buona percentuale di esiti positivi

Parte del successo, tuttavia, è dovuto all’imperizia dell’utente nella scelta della password.

Questo esempio aiuta a comprendere l’importanza di evitare password banali, le quali con ogni probabilità sono molto comuni e, dunque, più portate ad essere parte di precedenti leak. Viene sottolineata anche l’importanza di differenziare il tipo di caratteri usati nella stringa, in modo da renderla meno comune.

Nel caso in cui l’attacco a dizionario abbia successo, le conseguenze possono essere gravi. L’hacker avrà accesso a dati sensibili, che possono essere rubati e rivenduti al miglior offerente su piattaforme dedicate.

Le credenziali stesse, inoltre, possono entrare nei dizionari dell’attaccante per essere usate in tentativi di credential stuffing.

Infine, il libero accesso al sistema può comportare una scalata dei privilegi da parte dell’attaccante e, se le condizioni lo consentono, l’immissione di un ransomware nel sistema.

Attacco Reverse Brute Force

In questo caso, l’approccio di attacco è l’opposto del tradizionale attacco brute force: invece di cercare la password che consenta l’acceso ad un determinato account, si cercano gli account che adottano una specifica password.

Spesso si tratta di password deboli, di quelle che appaiono più frequentemente nei dizionari a disposizione degli hacker.

Dunque, occorre avere a disposizione un folto numero di nomi utente o email, così da sfruttare a proprio vantaggio la statistica sull’uso di parole d’ordine di scarsa qualità.

L’idea dietro questo attacco è tra una moltitudine di identificativi disponibili, ve ne sia almeno uno il cui proprietario non presta particolare attenzione alla sicurezza.

Il fatto che questa tipologia di attacco sia ancora molto utilizzata al giorno d’oggi, suggerisce un certo grado di efficacia e che, alla radice, ci siano ancora molte persone che hanno poca consapevolezza in fatto di sicurezza.

Anche qui, la prima breccia che viene aperta dagli attaccanti può, senza dubbio, dar luogo ad furto di dati e d’identità dell’utente.

Conclusione

Dunque, le password sono il primo e più importante baluardo di difesa per i nostri account.

Per questo motivo conviene seguire i consigli degli esperti del settore, in modo da produrre password diverse e robuste per ogni servizio.

Dalla complessità, alla lunghezza , passando per l’unicità, si fanno passi importanti verso un’esperienza più sicura sulla rete.

Seguendo le semplici best pratice illustrate in questo articolo, sarà quindi possibile ridurre di molto il rischio di cadere vittima di attacchi alle password e, di conseguenza, causare danno a se stessi o al proprio ambiente lavorativo.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.