5 tecniche di password cracking utilizzate negli attacchi informatici

Share with your network!

Settembre 13, 2023 Brian Gleeson

Non sorprende che le violazioni dei dati riuscite possano spesso essere ricondotte a password deboli o rubate. Una ricerca condotta da Proofpoint per il rapporto 2024 State of the Phish ha rilevato che solo il 31% dei lavoratori adulti inserisce manualmente una password unica per ogni account di lavoro. Peggio ancora, l’8% di loro ha persino rivelato le proprie password in situazioni di pericolo.

Queste statistiche preoccupanti sottolineano i rischi che comporta una gestione delle password debole. Quando gli utenti non prendono sul serio la sicurezza delle password, la superficie di attacco di un’intera organizzazione aumenta in modo esponenziale.

Per aiutare la tua organizzazione a ridurre in modo significativo il rischio di perdita di dati e compromissione degli account, abbiamo stilato un elenco delle tecniche di password cracking più comuni, del loro funzionamento e dei consigli per mantenere la tua organizzazione al sicuro.

Che cos’è il password cracking?

Il password cracking, o password breaking, si riferisce in genere al processo di recupero delle password crittografate. Può essere utilizzato per aiutare un utente a recuperare una password dimenticata o per aiutare un amministratore di sistema a verificare la presenza di password deboli. Tuttavia, il più delle volte il password cracking viene utilizzato da malintenzionati per ottenere l’accesso non autorizzato a sistemi e risorse.

Come vettore di attacchi informatici, il password cracking è incredibilmente vario. Gli autori delle minacce utilizzano strumenti specializzati, tecniche multiple e persino tattiche complementari per aumentare le loro possibilità di successo. Per avere un quadro più chiaro di come si integrano tra loro, è utile capire che gli attacchi rientrano tipicamente in due categorie:

Password guessing (indovinare la password)
Password cracking (cracking delle password)

A rigor di termini, password guessing e password cracking non sono la stessa cosa, anche se i termini sono spesso confusi. Il password guessing è una tecnica online in cui un malintenzionato utilizza varie combinazioni di caratteri in un processo di tentativi ed errori. Al contrario, il password cracking si riferisce a un processo offline in cui un aggressore tenta di decifrare le password in chiaro dalle loro forme crittografate. Poiché queste tecniche sono tipicamente raggruppate insieme, le tratteremo entrambe in questa sede.

5 tecniche comuni di password cracking

Sebbene esistano diversi modi in cui gli autori delle minacce crackano le password, ecco alcuni dei più comuni:

1. Attacco brute-force

Con questo metodo di attacco relativamente vecchio ma efficace, i malintenzionati utilizzano script automatizzati per provare tutte le password possibili fino a trovare quella corretta. Gli attacchi brute-force possono richiedere molto tempo perché adottano un approccio sistematico per provare tutte le possibili permutazioni di caratteri in una sequenza. Più lunga è la password, più tempo ci vuole.

Gli attacchi brute-force hanno più successo quando gli utenti hanno password comuni o deboli, che possono essere “indovinate” dagli strumenti in pochi secondi. Crackare una password forte può richiedere alcune ore o alcuni giorni.

Gli amministratori che desiderano difendersi da questi attacchi hanno a disposizione diverse opzioni per la protezione delle password, tra cui:

Limitare il numero di tentativi di inserimento della password
Bloccare un indirizzo IP dopo che ha tentato, senza successo, di inserire la password corretta per un certo numero di volte
Bloccare gli account dopo un certo numero di tentativi di accesso non riusciti
Imporre un intervallo di tempo tra i tentativi
Aumentare il livello di difficoltà, ad esempio aggiungendo un CAPTCHA o un’autenticazione a più fattori

2. Dictionary attack

Questi attacchi sono simili agli attacchi brute-force, ma puntano meno sulla quantità e più sulla qualità. In altre parole, invece di provare tutte le combinazioni possibili, i malintenzionati partono dal presupposto che gli utenti tendano a seguire determinati schemi quando creano una password. Quindi si concentrano sulle parole più probabili invece di provare tutte le combinazioni possibili.

Alcuni utenti scelgono password facili da ricordare, come “password” o “123abc”. Altri seguono schemi prevedibili che possono variare a seconda della regione: gli utenti potrebbero scegliere parole relative alle loro squadre preferite, ai monumenti locali, ai nomi delle città e così via. Ad esempio, un newyorkese potrebbe scegliere “yankeefan1998”. Gli aggressori raccolgono elenchi di password probabili in dizionari di attacco. Quindi, aggiungono numeri, lettere e caratteri alle password probabili per ottenere password più lunghe.

Sebbene questi elenchi non siano lunghi come quelli utilizzati negli attacchi brute-force, possono essere piuttosto grandi. Pertanto, gli aggressori utilizzano script automatizzati per provare ogni password su un nome utente fino a quando non vengono bloccati

3. Attacco di credential stuffing

Con il credential stuffing, i malintenzionati sfruttano la tendenza degli utenti a riutilizzare gli stessi nomi utente e password per più account. Man mano che un numero sempre maggiore di credenziali viene esposto a causa di violazioni dei dati, crescono le opportunità per questo tipo di attacchi.

Ecco come funziona: coppie di nomi utente e password compromessi vengono aggiunte a una botnet che automatizza il processo di prova di tali credenziali su più siti contemporaneamente. Lo scopo di questi attacchi è identificare combinazioni di account che funzionano e possono essere riutilizzate su più siti.

Questi attacchi hanno un tasso di successo relativamente basso, ma l’impatto di un attacco botnet su larga scala è spesso tutt’altro che piccolo.

4. Attacco ibrido (hybrid attack)

Quando gli utenti cambiano la loro password, spesso aggiungono alcuni numeri, lettere o caratteri extra alla fine. Gli attacchi ibridi sfruttano questa tendenza.

Spesso, gli attacchi ibridi sono un mix di dictionary attack e brute-force attack. In questo caso, un malintenzionato può ottenere la password compromessa di un utente per un sito. L’utente scopre che è stata compromessa e la cambia. L’aggressore proverà ora diverse varianti della vecchia password utilizzando un metodo brute-force che automatizza l’aggiunta di numeri, lettere e altro.

Sebbene questo metodo richieda più tempo rispetto a un semplice dictionary attack, è più veloce di un attacco brute-force.

5. Attacco con rainbow table

Per garantire la sicurezza delle password, qualsiasi azienda responsabile che le memorizza non le conserva nella loro forma originale in chiaro. Utilizza invece un algoritmo di hashing per convertire le password in una stringa di lettere e numeri apparentemente casuali. Potrebbe anche eseguire un secondo hashing di questo output in un processo chiamato “salting” per rendere la password ancora più difficile da decifrare.

Ma il numero di algoritmi di hashing è limitato. Inoltre, essi eseguono l’hash delle stesse password sempre allo stesso modo. Di conseguenza, gli aggressori possono sviluppare database di password comuni che sono stati in grado di decodificare. Una volta decifrata una password, la memorizzano in un database chiamato rainbow table.

Quando un aggressore ottiene una nuova password con hash, controlla se corrisponde a uno degli hash precalcolati memorizzati nella sua rainbow table. Lo svantaggio delle rainbow table è che richiedono molto tempo e impegno per essere create. Inoltre, spesso non funzionano con le password che sono state sottoposte a salting.

Suggerimenti per proteggere la tua organizzazione dagli attacchi alle password

Le password sicure possono sembrare un elemento banale della tua strategia di sicurezza informatica. Tuttavia, le password sono il mezzo più comune utilizzato dai criminali informatici per ottenere l’accesso non autorizzato a dati e sistemi riservati. Ciò rende le password complesse essenziali per mantenere la tua organizzazione al sicuro. Tutti i tipi di aziende, organizzazioni e istituzioni possono trarre vantaggio da queste best practice relative alle password:

Creare politiche di password sicure. Gli utenti in genere non hanno le migliori abitudini in materia di password. Prendi in considerazione una politica di password che richieda una lunghezza minima della passphrase (idealmente superiore a 20 caratteri), richieda l’uso di caratteri speciali e obblighi gli utenti a reimpostare regolarmente le loro password.
Utilizzare l’autenticazione a più fattori. Quando si utilizza l’autenticazione a più fattori (MFA), il password cracking viene in gran parte neutralizzato (anche se un numero crescente di attacchi impiega tecniche di bypass dell’MFA). Un aggressore potrebbe scoprire la password di un utente, ma in molti casi non avrà comunque accesso al metodo di autenticazione secondario.
Crittografare, eseguire l’hash e il salt delle password. Sia la crittografia che l’hash aumentano in modo esponenziale lo sforzo e la potenza di calcolo necessari per gli attacchi. E il salting rende il processo ancora più difficile.
Aggiornare regolarmente i sistemi. Quando i sistemi non vengono aggiornati, il malware che traccia i tasti digitati dagli utenti può infettare e-mail, file e applicazioni. In questi cosiddetti attacchi keylogger, i malintenzionati raccolgono le credenziali degli utenti e altre informazioni sensibili. I sistemi aggiornati possono prevenire questi attacchi.

Implementando queste misure, le organizzazioni possono impedire efficacemente che le informazioni sensibili finiscano nelle mani sbagliate.

Il futuro della sicurezza delle password

Non c’è dubbio che le password presentino problemi di sicurezza.

Ecco perché la popolarità dell’autenticazione passwordless è in aumento.

L’autenticazione passwordless è generalmente considerata più sicura delle password standard. Funziona consentendo agli utenti di dimostrare la propria identità tramite qualcosa di unico, come la voce o un token di sicurezza. Questi metodi di sicurezza sono comunemente utilizzati con l’autenticazione a due fattori (2FA). Ecco alcuni esempi:

Biometria. Con questo metodo, le caratteristiche uniche di un utente, come l’impronta digitale, l’impronta palmare, la voce o il volto, vengono salvate e crittografate. Quando un utente desidera effettuare l’accesso, verifica la propria identità inviando nuovamente i propri dati biometrici.
Password monouso basata sul tempo (TOTP). Si tratta di un codice di accesso temporaneo generato da un algoritmo. In genere è composto da sei caratteri e cambia dopo 30 o 60 secondi. Google Authenticator e Microsoft Authenticator sono due buoni esempi. In un’altra variante, l’utente scansiona un codice QR utilizzando una specifica applicazione per smartphone, che poi genera il TOTP per l’utente.
Codice PIN monouso (OTP). Quando un utente tenta di effettuare l’accesso, un OTP, in genere un codice a sei cifre, viene inviato al suo numero di cellulare tramite SMS o e-mail. L’utente ha un tempo limitato per inserire il codice nel sistema. In un’altra variante, viene inviato un collegamento ipertestuale unico all’utente, che deve quindi cliccare su quel cosiddetto magic link per effettuare l’accesso.
Notifiche push. Questo metodo autentica un utente inviando un messaggio a un’applicazione sicura sul suo dispositivo mobile. Quando l’utente riceve la notifica, può approvare o negare l’accesso o visualizzare ulteriori dettagli.

L’autenticazione passwordless è resistente alla maggior parte dei metodi di password cracking. Inoltre, avvisa gli utenti se qualcosa non va. Gli svantaggi sono che è più complesso e spesso richiede sistemi esterni per funzionare. Quindi, mentre il futuro della sicurezza delle password si sta muovendo verso una maggiore sicurezza, non è necessariamente più facile da usare.

In che modo Proofpoint può aiutare

Proofpoint TAP Account Takeover aiuta le aziende a difendere i loro ambienti di posta elettronica e cloud dalle minacce, tra cui:

Attacchi brute-force
Phishing
Compromissione delle e-mail aziendali (BEC)
Malware
Esfiltrazione dei dati
Accesso persistente degli aggressori

La nostra soluzione fornisce informazioni dettagliate sui tipi di minacce che prendono di mira gli account di posta elettronica. Inoltre, se un aggressore riesce ad accedere a un account, fornisce gli strumenti necessari per intraprendere azioni correttive a protezione di tale account.

Per ulteriori informazioni, consulta la pagina del servizio Core Email Protection o contatta il rappresentante commerciale Proofpoint.

La cybersicurezza per l’ambiente di lavoro agentico inizia con la piattaforma di sicurezza di Proofpoint, incentrata su persone e agenti.

Partecipa a un evento Protect dal vivo e scopri come proteggere persone, dati e AI

Ferma le minacce informatiche con una protezione multicanale basata sull’IA.

Scopri Core Email Protection in azione — blocca il 99,99% delle minacce email

Trasforma la sicurezza dei dati con un approccio unificato e omnicanale.

Comprendi i principali rischi per la sicurezza dei dati che le organizzazioni devono affrontare — e come restare un passo avanti

Le tecnologie Proofpoint che alimentano una sicurezza incentrata su persone e agenti.

Esplora i pacchetti Proofpoint

Ottimizza le soluzioni Proofpoint con servizi specialistici.

«La partnership con Proofpoint è un’estensione del nostro team.» — Celesta Capital

Soluzioni complete per le minacce di cybersicurezza di oggi.

Scopri i nuovi rischi legati all’IA e come costruire una base sicura per l’adozione in ambito aziendale

Protezione superiore per ogni settore, dalle piccole imprese alle grandi aziende.

Scopri i rischi per la sicurezza che le organizzazioni sanitarie non possono permettersi di ignorare

Oltre 80 aziende Fortune 100 scelgono Proofpoint per proteggere persone, dati e IA.

Stai valutando fornitori di sicurezza? Confrontaci con analisi affiancate.

Ricerche, approfondimenti e risorse dagli esperti Proofpoint.

Nuovi agenti, nuovi attacchi: proteggere la collaborazione nell’era agentica

Impara dalla nostra threat intelligence e da analisi esclusive che non troverai altrove.

Proofpoint DISCARDED: storie dalle trincee della ricerca sulle minacce

Scopri di più sul team che guida una sicurezza incentrata su persone e agenti.

Pronto a entrare in un’azienda che sta ridefinendo la cybersicurezza?