icon

Il problema delle password craccate. Come prevenire il crack della password?

Cracked Passwords

 

Le password sono state ampiamente adottate come il modo più efficace per proteggere i dati preziosi dall'accesso non autorizzatoSono semplici e facili da usare, ma abbastanza affidabili da scoraggiare la maggior parte dei tentativi di hacking

Tuttavia, con l'avanzare della tecnologia nel corso degli anni, il sistema di sicurezza tradizionale di implementazione delle password sembra essere lentamente in ritardoLe password deboli o facili da indovinare possono essere facilmente violate e anche quelle complesse non sembrano essere completamente impermeabili agli attacchi degli hacker

Allora, cosa puoi fare per evitare che le tue password vengano violate? In questa pagina, affronteremo l'argomento sempre più importante del cracking delle password nella sicurezza informatica e condivideremo con voi preziosi suggerimenti per la prevenzione del cracking delle passwordContinua a leggere per scoprire come rendere le password craccate un ricordo del passato

Contenuto

Password craccate: come le ottengono gli hacker?

Tipi di violazione delle password

Attacchi per indovinare la password

Attacchi di ingegneria sociale

Attacchi basati su hash

Come prevenire il cracking della password?

Lo strumento definitivo per la prevenzione del cracking delle password

Password violate: come vengono ricevute dagli hacker?

Quando si tratta di violare le password, la maggior parte degli aggressori ha lo stesso mantra: più semplice è, meglio èCercheranno sempre principalmente di utilizzare il modo più semplice, economico e furtivo per decifrare la tua password

Abbastanza preoccupante, gli aggressori possono utilizzare uno dei tanti strumenti disponibili per ottenere l'accesso ai tuoi accountSebbene gli strumenti per il cracking delle password siano principalmente destinati ad aiutare gli utenti a recuperare le password perse e testare la sicurezza delle loro password, alcune persone, sfortunatamente, decidono di utilizzare questi strumenti per scopi nefastiEcco una breve panoramica di alcuni dei tipi più comuni di strumenti software per il cracking delle password:

  1. Hashcat − Ampiamente considerato uno degli strumenti più veloci per crackare le password, Hashcat supporta anche una manciata di metodologie di cracking delle passwordNon memorizza alcuna password violata sui suoi server ed è disponibile interamente gratuitamente
  2. THC Hydra − Questo strumento supporta oltre 50 protocolliIl suo sistema mobile supporta tutte le principali piattaforme software, rendendolo un ottimo strumento se hai bisogno di software per craccare password iOS o Android
  3. Medusa  Medusa è un software per decifrare password molto comodo che supporta un lungo elenco di protocolliSupporta diversi sistemi operativi per computer, escluso Windows
  4. John the Ripper − John the Ripper è uno strumento multipiattaforma, open-source e completamente gratuito per decifrare le passwordSupporta centinaia di tipi di hash e cifratura ed è uno degli strumenti di cracking delle password più flessibili
  5. CrackStation  A differenza del software sopra menzionato, CrackStation è un cracker basato sul Web e non dispone di un software autonomo programmaSupporta molti protocolli, ma è possibile utilizzare solo hash non salati senza stringhe casuali allegate

Tipi di violazione delle password

A questo proposito, puoi dire che gli aggressori hanno il vantaggio, in quanto ci sono semplicemente troppi tipi di hacking delle passwordPer questo motivo, la maggior parte delle persone non è consapevole di quante direzioni possa provenire la minaccia

La maggior parte degli attacchi di violazione delle password può presentarsi in tre forme distinteSi tratta di attacchi per indovinare la password, attacchi di ingegneria sociale e attacchi basati su hashDiscutiamo ciascuno di questi attacchi in modo più dettagliato

1Attacchi per indovinare password

Mentre la maggior parte di noi tende a immaginare che gli attacchi informatici provengano da hacker super sofisticati che utilizzano apparecchiature costose, la realtà spesso non è così entusiasmanteIn effetti, la maggior parte dei casi di password violate derivano da aggressori che semplicemente indovinano la password fino a quando non la ottengono correttamenteEsistono diversi tipi di attacchi per indovinare la password:

  • Indovinazione casuale della password − La forma più semplice di indovinare la password, questo è anche il metodo meno efficace, a meno che la vittima non utilizzi una password molto comune oppure l'attaccante sa molto della vittima
  • Dictionary Attacks − Una forma più avanzata di attacco per indovinare la password, in cui gli aggressori utilizzano un dizionario automatizzato di paroleLa complessità degli attacchi a dizionario dipende dal fatto che gli aggressori includano numeri e caratteri e se prendano di mira specifiche combinazioni di parole
  • Attacchi di forza bruta  Gli attacchi di forza bruta per indovinare la password implicano un approccio sistematico a ogni possibile combinazione di lettere, numeri e paroleIl vantaggio principale di questo attacco è che l'hacker è destinato a trovare la password corretta a un certo puntoTuttavia, il rovescio della medaglia è che potrebbero impiegare molto tempo per generare tutte le possibili permutazioni

2Attacchi di ingegneria sociale

L'ingegneria sociale è un termine ampio che si riferisce a varie attività dannose che vengono svolte sfruttando le interazioni umane attraverso la manipolazione psicologicaAttraverso attacchi di ingegneria sociale, gli hacker mirano a indurre le loro ignare vittime a fornire loro preziose informazioni sensibili

Gli attacchi di ingegneria sociale sono spesso attentamente studiati, poiché gli aggressori in genere indagano sulle loro vittime per ottenere informazioni che li aiutino a portare a termine l'attaccoEcco le forme più comuni di attacchi di social engineering:

  • Phishing − Probabilmente la tecnica più nota e popolare, il phishing consiste nell'indurre il bersaglio a fare clic su un collegamento o ad aprire un allegato che include malwareEsistono molte forme di attacchi di phishing adattati a situazioni specifiche, tra cui spear phishing, caccia alle balene, smishing e vishing
  • Attacchi di reimpostazione della password − Un'altra forma prevalente di attacchi di ingegneria sociale include l'avvio di modifiche forzate della password da parte di una persona diversa dall'utente finaleGli aggressori manipolano un collegamento per la reimpostazione della password che punta a un dominio che controllano
  • Shoulder Surfing  Questa è una forma molto rozza e antiquata di cracking delle password, ma che, sfortunatamente, funziona ancora su alcune vittimeLa base dell'attacco è sempliceL'aggressore osserva fisicamente la vittima che inserisce una password e quindi utilizza i dati identificativi ottenuti per eseguire l'attacco

3Attacchi basati su hash

Infine, gli attacchi basati su hash possono essere particolarmente pericolosiQuesto perché gli hacker possono attaccare il database utente/password anche offlineI due tipi più comuni di attacchi basati su hash sono:

  • Attacco Rainbow Table − Gli hacker ottengono prima l'accesso agli hash trapelati e utilizzano la tabella arcobaleno per decrittografare gli hash delle passwordFinché gli hash non hanno una codifica univoca aggiuntiva per ogni password, gli hacker possono semplicemente tradurre le password crittografate in testo normale
  • Attacco pass-the-hash - Abbreviato come PtH, gli attacchi pass-the-hash sfruttano i punti deboli nel protocollo di autenticazioneQuesti tipi di attacchi vengono spesso utilizzati per crackare le password di Windows, sebbene possano verificarsi anche su altre piattaforme

Come prevenire il cracking della password?

Il cracking delle password è senza dubbio una pratica preoccupante e qualcosa di cui tutti noi possiamo essere vittimeDetto questo, questo non vuol dire che non puoi fare nulla per ridurre al minimo le possibilità che le tue password vengano violateEcco come prevenire il cracking della password con alcuni semplici metodi:

Suggerimento n. 1Crea password sicure

Il primo passo per evitare che la tua password venga violata è innanzitutto impostare una password sicuraPoiché la tua password è la prima linea di difesa, dovrebbe essere il più affidabile possibile

Ci sono molti aspetti da ricordare quando si tenta di creare la password più sicura possibileAd esempio, dovrebbe essere di lunghezza sufficiente e combinare sia lettere minuscole che maiuscole, nonché numeriInoltre, i suggerimenti dovrebbero essere unici e difficili da indovinare

Se ti stai chiedendo "quanto è difficile decifrare la mia password?" e vuoi assicurarti che sia sufficientemente forte da scoraggiare qualsiasi attacco, ti consigliamo di leggere la nostra pagina dedicata sulle linee guida NIST sulle password

Suggerimento n. 2Utilizzare un gestore di password affidabile

Oltre ad avere password complesse, dovresti anche utilizzare un gestore di password affidabilePer cominciare, un gestore di password ha uno scopo molto pratico, in quanto ti libera dalla necessità di memorizzare le tue password

Ancora più importante nel contesto di questa pagina, offre anche ulteriori vantaggi in termini di sicurezzaPuoi generare password casuali complesse, utilizzare una funzione di riempimento automatico e condividere in modo sicuro le password ogni volta che ne hai bisogno

Suggerimento n. 3Usa 2FA e accesso senza password quando possibile

Negli ultimi anni l'autenticazione a due fattori (2FA) ha guadagnato sempre più terrenoE per un buon motivo2FA fornisce un ulteriore livello di protezione e mantiene i tuoi account al sicuro anche se la tua password viene compromessaSe un utente malintenzionato si impossessa delle tue credenziali di accesso, verrà comunque escluso senza ottenere l'approvazione al secondo fattore

Considerando questo, si consiglia di abilitare l'autenticazione a due fattori ove possibileNon ci vuole molto tempo e fatica per farlo, ma può salvarti da molti mal di testa nel caso in cui un utente malintenzionato ti prenda di mira

Inoltre, se desideri ridurre ulteriormente la tua superficie di attacco, prendi in considerazione la completa assenza di passwordSebbene questo passaggio richieda un approccio più attento, passare completamente all'assenza di password elimina i rischi associati alla sicurezza basata su password

Lo strumento definitivo per la prevenzione del cracking delle password

Tenendo presente quanto sopra, per garantire una protezione senza compromessi contro il cracking delle password, dovresti utilizzare diversi strumentiNel caso in cui desideri gestire contemporaneamente le tue password dai servizi Web legacy e utilizzare i vantaggi della moderna autenticazione senza password, avrai bisogno di almeno due dispositivi: un gestore di password e un token FIDO per gli accessi senza passwordMa siamo onesti, questo non è molto conveniente

Da questo punto di vista, il modo più efficace per prevenire il cracking della password è utilizzare una chiave hardware unica nel suo genere che combini funzionalità e sicurezzaIl nostro Hideez Key 4 è un dispositivo tascabile che ha tutte le funzionalità di un gestore di password di alta qualità combinate con il supporto dello standard FIDO2 "senza password"

Inoltre, questo minuscolo dispositivo può fungere anche da blocco di prossimità intelligente per il tuo computer Windows, consentendoti di bloccare o sbloccare il dispositivo quando ti avvicini o ti allontaniInfine, puoi implementarlo come principale strumento di sicurezza sia a casa che in un ambiente aziendaleContattaci per saperne di più o approfittare della nostra offerta di prova gratuita di 30 giorni!