Gli attacchi ai dizionari minacciano la sicurezza delle tue reti e piattaforme. Tentano di compromettere un account utente generando una password corrispondente. Scopri come funzionano e come batterli.
Attacchi al dizionario
Gli account utente su sistemi informatici, siti Web e servizi ospitati devono essere protetti da accessi non autorizzati. L'autenticazione dell'utente è il modo più comune per eseguire questa operazione. Agli utenti viene assegnato un ID utente univoco—per gli account online, che di solito è il loro indirizzo email—e una password. Queste due informazioni devono essere fornite, controllate e verificate prima che l'utente possa accedere all'account.
RELATEDIl problema con le password sono le persone
Gli attacchi a dizionario sono una famiglia di attacchi informatici che condividono una tecnica di attacco comune. Usano lunghi elenchi—a volte interi database–di parole e un pezzo di software. Il software legge a turno ogni parola dell'elenco e cerca di usarla come password per l'account sotto attacco. Se una delle parole nell'elenco corrisponde alla password autentica, l'account viene compromesso.
Questi attacchi differiscono dal tipo di attacco a forza bruta più primitivo. Gli attacchi di forza bruta provano combinazioni casuali di lettere e caratteri nella speranza che trovino la password per caso e buona fortuna. Questi attacchi sono inefficienti. Richiedono tempo e risorse di calcolo.
Lo sforzo necessario per decifrare una password aumenta enormemente con ogni lettera in più che aggiungi alla tua password. Ci sono ordini di grandezza in più di combinazioni in una password di otto caratteri che in una password di cinque caratteri. Non c'è alcuna garanzia che un attacco di forza bruta abbia mai successo. Ma con gli attacchi del dizionario, se una delle voci nell'elenco corrisponde alla tua password, l'attacco alla fine avrà successo.
Pubblicità
Naturalmente, la maggior parte delle reti aziendali applicherà il blocco automatico dell'account dopo un determinato numero di tentativi di accesso non riusciti. Molto spesso però gli attori delle minacce iniziano con i siti web aziendali, che spesso hanno controlli meno severi sui tentativi di accesso. E se ottengono l'accesso al sito Web, possono provare quelle credenziali sulla rete aziendale. Se l'utente ha riutilizzato la stessa password, gli autori delle minacce sono ora nella rete aziendale. Nella maggior parte dei casi, il sito Web o il portale non è il vero obiettivo. È un punto di arrivo in rotta verso il vero premio dell'autore della minaccia—la rete aziendale
L'accesso al sito Web consente agli attori della minaccia di iniettare codice dannoso che monitorerà i tentativi di accesso e registrerà il ID utente e password. Invierà le informazioni agli autori delle minacce o le registrerà fino a quando non torneranno al sito per raccoglierle.
RELAZIONATO: Come usare Pass, a Command- Line Password Manager per sistemi Linux
Non solo parole in un file
I primi attacchi ai dizionari erano proprio questo. Hanno usato le parole del dizionario. Ecco perché “non usare mai una parola del dizionario” faceva parte della guida sulla scelta di una password complessa.
RELAZIONI< /strong>Perché le scadenze delle password obbligatorie non hanno più senso
Ignorare questo consiglio e scegliere comunque una parola del dizionario, quindi aggiungere una cifra in modo che non corrisponda a una parola nel dizionario, è altrettanto scarso. Gli attori delle minacce che scrivono il software di attacco del dizionario sono saggi su questo. Hanno sviluppato una nuova tecnica che prova ogni parola dall'elenco, molte volte. Ad ogni tentativo, vengono aggiunte alcune cifre alla fine della parola. Questo perché le persone spesso usano una parola e aggiungono una cifra come 1, poi 2 e così via, ogni volta che devono cambiare la password.
A volte aggiungono un numero di due o quattro cifre per rappresentare un anno. Potrebbe rappresentare un compleanno, un anniversario, l'anno in cui la tua squadra ha vinto la coppa o qualche altro evento significativo. Poiché le persone usano il nome dei propri figli o di altre persone significative come password, gli elenchi del dizionario sono stati ampliati per includere nomi maschili e femminili.
E il software si è evoluto di nuovo. Schemi che sostituiscono i numeri alle lettere, come 1 per “i”, 3 per “e”, 5 per “s”, e così via, non aggiungono alcuna complessità significativa a la tua password. Il software conosce le convenzioni e funziona anche attraverso queste combinazioni.
Pubblicità
Oggi tutte queste tecniche sono ancora utilizzate, insieme ad altri elenchi che non contengono parole standard del dizionario. Contengono password reali.
Da dove provengono gli elenchi di password
Il noto sito web Have I Been Pwned archivia una raccolta ricercabile di oltre 10 miliardi di account compromessi. Ogni volta che si verifica una violazione dei dati, i manutentori del sito tentano di ottenere i dati. Se riescono ad acquisirlo lo aggiungono ai loro database.
CORRELATOCome verificare se le e-mail del personale sono in violazione dei dati
Puoi cercare liberamente nel loro database di indirizzi e-mail. Se il tuo indirizzo e-mail viene trovato nel database, ti viene detto quale violazione dei dati ha fatto trapelare le tue informazioni. Ad esempio, ho trovato uno dei miei vecchi indirizzi e-mail nel database Have I Been Pwned. È trapelato in una violazione del 2016 del sito Web di LinkedIn. Ciò significa che anche la mia password per quel sito sarebbe stata violata. Ma poiché tutte le mie password sono uniche, non ho dovuto fare altro che cambiare la password per quel sito.
Have I Been Pwned ha un database separato per le password. Non è possibile abbinare gli indirizzi e-mail alle password sul sito Have I Been Pwned, per ovvie ragioni. Se cerchi la tua password e la trovi nell'elenco, non significa necessariamente che la password provenga da uno dei tuoi account. Con 10 miliardi di account violati ci saranno voci duplicate. Il punto interessante è che ti viene detto quanto sia popolare quella password. Pensavi che le tue password fossero uniche? Probabilmente no.
Ma indipendentemente dal fatto che la password nel database provenga da uno dei tuoi account o meno, se si trova sul sito Web Have I Been Pwned saranno gli elenchi di password utilizzati dagli autori delle minacce’ software di attacco Non importa quanto arcana o oscura sia la tua password. Se è nell'elenco delle password non può essere considerato affidabile—quindi cambialo immediatamente.
RELAZIONATO: Sei stato hackerato? 10 indicatori che dicono di sì
Variazioni degli attacchi di individuazione delle password
Anche con attacchi di basso livello come attacchi del dizionario, l'attaccante può utilizzare alcune semplici ricerche per cercare di semplificare il lavoro del software.
Pubblicità
Ad esempio, possono registrarsi o registrarsi parzialmente sul sito che desiderano attaccare. Saranno quindi in grado di vedere le regole di complessità della password per quel sito. Se la lunghezza minima è di otto caratteri, il software può essere impostato per iniziare con stringhe di otto caratteri. Non ha senso testare tutte le stringhe di quattro, cinque, sei e sette caratteri. Se sono presenti caratteri non consentiti, possono essere rimossi dall' “alfabeto” che il software può utilizzare.
Ecco una breve descrizione dei diversi tipi di attacchi basati su elenchi.
- Attacco tradizionale a forza bruta: In realtà, questo non è un attacco basato su elenchi. Un pacchetto software dedicato e appositamente scritto genera tutte le combinazioni di lettere, numeri e altri caratteri come punteggiatura e simboli, in stringhe progressivamente più lunghe. Prova ognuno come password sull'account sotto attacco. Se capita di generare una combinazione di caratteri che corrisponde alla password dell'account sotto attacco, quell'account viene compromesso.
- Attacco al dizionario: un pacchetto software dedicato e appositamente scritto richiede una parola alla volta da un elenco di parole del dizionario e le prova come password per l'account sotto attacco. Le trasformazioni possono essere applicate alle parole del dizionario come l'aggiunta di cifre e la sostituzione di cifre con lettere.
- Attacco di ricerca di password: Simile a un attacco al dizionario, ma gli elenchi di parole contengono password reali. Il software automatizzato legge una password alla volta da un enorme elenco di password raccolte da violazioni dei dati.
- Attacco di ricerca password intelligente: come un attacco di password, ma trasformazioni di ogni password sono provati così come i “nudi” parola d'ordine. Le trasformazioni emulano i trucchi delle password comunemente usati come la sostituzione delle vocali con le cifre.
- Attacco API: invece di tentare di violare l'account di un utente, questi attacchi utilizzano il software per generare stringhe di caratteri che sperano corrispondano alla chiave di un utente per un'interfaccia di programmazione dell'applicazione. Se riescono ad accedere all'API, potrebbero essere in grado di sfruttarla per esfiltrare informazioni sensibili o copyright intellettuale.
Una parola sulle password< /h2> RELAZIONICome creare una password sicura (e ricordare esso)
Le password devono essere robuste, univoche e non correlate a tutto ciò che potrebbe essere scoperto o dedotto su di te, ad esempio i nomi dei bambini. Le passphrase sono migliori delle password. Tre parole non correlate unite da un po' di punteggiatura sono un modello molto forte per una password. Contro-intuitivamente, le passphrase usano comunemente parole del dizionario e siamo sempre stati avvertiti di non usare parole del dizionario nelle password. Ma combinarli in questo modo crea un problema molto difficile da risolvere per il software di attacco.
Possiamo utilizzare il sito web Quanto è sicura la mia password per testare la sicurezza delle nostre password.
- cloudsavvyit: tempo stimato per decifrare: tre settimane.
- trenta.feather.girder: tempo stimato per il crack: 41 quadrilioni di anni!
< li>cl0uds4vvy1t: tempo stimato per il crack: tre anni.
E non dimenticare la regola d'oro. Le password devono essere utilizzate solo su un sistema o sito web. Non devono mai essere utilizzati in più di un luogo. Se utilizzi le password in più di un sistema e uno di questi sistemi viene violato, tutti i siti e i sistemi su cui hai utilizzato quella password sono a rischio perché la tua password sarà tra gli autori delle minacce’ mani—e nei loro elenchi di password. Indipendentemente dal fatto che la tua password impieghi 41 quadrilioni di anni per decifrare, se è nei loro elenchi di password il tempo di crack è completamente irrilevante.
Se hai troppe password da ricordare, usa un gestore di password .
RELAZIONATO: Perché dovresti usare un gestore di password e come iniziare
Come proteggerti dagli attacchi di forza bruta< /h2>
Una strategia difensiva stratificata è sempre la migliore. Nessuna singola misura difensiva ti renderà immune agli attacchi del dizionario, ma ci sono una serie di misure che puoi considerare che si completeranno a vicenda e ridurranno notevolmente il rischio che tu sia suscettibile a questi attacchi.
- Abilita l'autenticazione a più fattori dove possibile. Ciò introduce nell'equazione qualcosa di fisico che l'utente possiede, come un telefono cellulare, una chiavetta USB o un telecomando. Le informazioni inviate a un'app sul telefono o le informazioni nel telecomando o nella chiave USB sono incorporate nel processo di autenticazione. L'ID utente e la password da soli non sono sufficienti per accedere al sistema.
- Utilizzare password e passphrase robusteche sono univoci e archiviati in modo sicuro in forma crittografata.
- Crea e implementa una politica per le password che regoli l'uso, la protezione e la formulazione accettabile delle password. Presentalo a tutto il personale e rendilo obbligatorio.
- Limita i tentativi di accesso a un numero basso. Blocca l'account quando è stato raggiunto il numero di tentativi falliti oppure bloccalo e forza la modifica della password.
- Abilita i captcha o altri passaggi di autenticazione secondari basati su immagini. Questi hanno lo scopo di fermare bot e software di password perché un essere umano deve interpretare l'immagine.
- Considera l'utilizzo di un gestore di password. Un gestore di password può generare password complesse per te. Ricorda quale password va con quale account, quindi non è necessario. Un gestore di password è il modo più semplice per avere password uniche e ferree per ogni singolo account di cui devi tenere traccia.
RELAZIONATO: Utilizzo 2FA? Grande. Ma non è infallibile