Attacchi, metodi, prevenzione del Password Cracking
In questo articolo parleremo di attacchi di cracking di password, dei loro metodi e di prevenzione. Gli attacchi di cracking delle password sono diventati più comuni al giorno d’oggi. Questi attacchi vengono eseguiti da criminali informatici o hacker per ottenere l’accesso all’account di un utente. Una volta che il criminale informatico riesce ad accedere all’account di un utente, l’account dell’utente viene compromesso. Ora l’aggressore può ottenere tutte le informazioni richieste dall’account dell’utente.
Tali attacchi sono molto pericolosi perché gli aggressori possono anche eseguire questi attacchi per ottenere nomi utente e password dei conti bancari degli utenti.
Attacchi di password cracking e loro metodi
Quando un utente malintenzionato tenta di indovinare o scoprire la password di una persona, si parla di attacco di cracking della password. Tali tipi di attacchi sono molto pericolosi perché possono comportare una perdita finanziaria (se un utente malintenzionato riesce a violare le credenziali bancarie). Esistono molti tipi diversi di attacchi di cracking delle password. Qui discuteremo dei metodi utilizzati dagli hacker o dai criminali informatici per violare le password degli utenti.
- Attacco di forza bruta
- Attacco al dizionario
- Attacco al Tavolo Arcobaleno
- Spruzzatura della password
- Phishing
- Attacco keylogger
- Attacco malware
- Riempimento di credenziali
- Surf sulle spalle
Iniziamo.
1] Attacco di forza bruta
Un attacco di forza bruta è un gioco d’ipotesi in cui un utente malintenzionato tenta di indovinare le password degli utenti utilizzando il metodo per tentativi ed errori. È uno dei più antichi attacchi di cracking delle password, ma è ancora utilizzato dai criminali informatici. Questo attacco viene eseguito utilizzando un software che prova tutte le combinazioni possibili per scoprire la password corretta di un computer, un server di rete o l’account di un utente.
2] Attacco dizionario
Un attacco con dizionario è un tipo di attacco di forza bruta in cui un utente malintenzionato tenta di violare la password di un utente utilizzando tutte le parole trovate in un dizionario. Alcuni utenti utilizzano una sola parola per creare le proprie password. Gli attacchi ai dizionari possono violare le password di tali utenti anche se utilizzano la parola più difficile trovata in un dizionario.
3] Attacco Tavolo Arcobaleno
L’attacco Rainbow Table è un altro metodo utilizzato dagli hacker per decifrare la password di qualcuno. Questo metodo di cracking delle password funziona sugli hash. Le applicazioni non memorizzano le password sotto forma di testo normale. Memorizzano invece le password sotto forma di hash. In informatica, un hash è una stringa con un numero fisso di cifre.
Le applicazioni memorizzano le password sotto forma di hash. Quando un utente accede inserendo la propria password, questa viene convertita in un valore hash e confrontata con il valore hash memorizzato. Il tentativo di accesso ha esito positivo se entrambi i valori hash corrispondono.
Una Rainbow Table è una tabella precalcolata che contiene un gran numero di valori hash delle password insieme ai corrispondenti caratteri di testo semplice. Gli aggressori utilizzano questi valori hash per decifrare le password degli utenti.
4] Spruzzatura della password
Il Password Spraying è un tipo di attacco di forza bruta in cui l’aggressore utilizza le stesse password su molti account diversi. In altre parole, in questo attacco la password rimane costante e il nome utente varia. Ad esempio, una password, ad esempio admin@123, può essere utilizzata su un gran numero di account con il metodo Password Spraying per crackare le password. Gli account con la password predefinita vengono solitamente compromessi da questo tipo di attacco.
5] Phishing
Il phishing è il metodo più comune utilizzato dagli autori malintenzionati per rubare le password degli utenti e altre informazioni sensibili o riservate. Gli hacker possono anche utilizzare il phishing per installare malware sui sistemi degli utenti e quindi controllare il proprio sistema da remoto.
Le e-mail sono più comunemente utilizzate negli attacchi di phishing. Tuttavia, esistono anche altri metodi che gli hacker possono utilizzare in un attacco di phishing. In questo attacco, un utente riceve un’e-mail. Questa email sembra un’email autentica, ad esempio un messaggio email da Gmail. L’e-mail contiene un messaggio che obbliga l’utente a intraprendere un’azione immediata, come:
Il tuo account è stato registrato di recente nella posizione ABC. Se non eri tu, reimposta la password cliccando su questo link.
Quando un utente fa clic sul collegamento, arriva alla pagina che imita Gmail, dove deve inserire sia la vecchia che la nuova password. Quando inserisce la sua password, l’attore malintenzionato cattura queste informazioni. Gli hacker utilizzano questo metodo anche per rubare le password bancarie degli utenti, le password delle carte di credito, le password delle carte di debito, ecc.
6] Attacco keylogger
Software keylogger che tiene traccia di tutte le sequenze di tasti. Il cracking della password diventa facile dopo aver installato il software Keylogger sull’host o sul computer di destinazione. Un Keylogger può anche inviare le informazioni sui tasti premuti all’hacker tramite un server. Una volta che l’hacker ottiene il registro contenente tutte le sequenze di tasti, può facilmente decifrare le password degli utenti. Gli hacker solitamente installano il software Keylogger sul sistema preso di mira tramite tentativi di phishing. I rilevatori di keylogger offrono una qualche forma di protezione.
I keylogger sono disponibili anche come componente hardware. Sembrano una chiavetta USB. Un utente malintenzionato può inserire questa unità flash USB in una delle porte USB del PC per registrare tutte le sequenze di tasti. Se lo noti, puoi rimuoverlo e prevenire l’attacco. Ma se viene inserito sul retro del case della CPU, di solito rimane inosservato.
7] Attacco malware
Gli hacker installano malware su un sistema informatico per diversi scopi, come danneggiarlo, prenderne il controllo, rubare informazioni riservate, ecc. Pertanto, attacchi malware sono anche tentativi dannosi di violare le password degli utenti. Sopra, abbiamo discusso dei keylogger disponibili come hardware e software. Oltre a ciò, gli hacker possono utilizzare diversi altri tipi di malware per rubare le password.
Il software dannoso per l’acquisizione dello schermo acquisisce screenshot dello schermo del computer dell’utente e li invia all’hacker. Un altro esempio di software dannoso è un dirottatore del browser.
8] Riempimento di credenziali
Il Credential Stuffing è un metodo per violare le password degli utenti ottenendo le credenziali da una violazione dei dati. Quando si verifica una violazione dei dati, vengono rubate password e nomi utente di milioni di utenti. Queste password e nomi utente rimangono disponibili sul Dark Web. Gli hacker acquistano queste credenziali dal Dark Web e le utilizzano per eseguire un attacco Credential Stuffing.
Alcuni utenti utilizzano la stessa password su tutti i siti web. Questo attacco è un tipo di attacco di forza bruta e può portare all’hacking di tutti gli account di tali utenti. Ad esempio, se l’account di un utente sulla piattaforma A viene violato e lui ha utilizzato la stessa password sulla piattaforma B, un hacker può facilmente hackerare il suo account sulla piattaforma B una volta che il suo nome utente è noto all’hacker.
9] Surf sulle spalle
Non sono sempre gli hacker o i criminali informatici a eseguire attacchi di cracking delle password. Anche una persona che conosci può rubare la tua password. Un attacco di tipo “Shoulder Surfing” è un semplice attacco di cracking delle password in cui una persona tiene d’occhio la tua tastiera mentre digiti la password senza farti sapere. Una volta effettuato l’accesso al tuo account su un determinato sito Web, quella persona ricorda le tue credenziali e le utilizza successivamente per accedere al tuo account sul suo dispositivo.
Questi sono alcuni dei metodi utilizzati dagli aggressori per tentare attacchi di violazione delle password. Ora vediamo come prevenire questi attacchi.
Prevenzione degli attacchi di cracking delle password
Qui parleremo di alcune misure preventive che dovresti adottare per evitare di diventare vittima di un attacco di violazione della password.
Crea sempre password lunghe e difficili da decifrare. Le password lunghe sono generalmente difficili da decifrare. Utilizza tutte le combinazioni possibili per creare una password, comprese lettere maiuscole, lettere minuscole, caratteri speciali, numeri, ecc. Puoi anche utilizzare il software gratuito Password Generator per creare una password complessa.
Abilita l’autenticazione a due fattori. Sarebbe meglio se abiliti l’autenticazione a due fattori per tutti i tuoi account supportati. Puoi utilizzare il tuo numero di cellulare, un altro indirizzo email o un messaggio sul tuo smartphone per consentire l’accesso a un altro dispositivo.
Non fare mai clic su un collegamento proveniente da una fonte non attendibile. Sopra, abbiamo visto che gli hacker prendono di mira le persone tramite attacchi di phishing e rubano le loro credenziali. Pertanto, se eviti di fare clic su collegamenti provenienti da fonti non attendibili, puoi proteggerti dal diventare vittima di un attacco di phishing.
Tieni d’occhio gli URL. Guarda sempre gli URL dei siti web prima di inserire le tue credenziali. Gli hacker creano siti Web di phishing per rubare nomi utente e password degli utenti. Questi siti Web imitano i siti Web originali ma i loro nomi di dominio differiscono da quelli autentici. Puoi identificare un sito web di phishing e differenziarlo dal sito web originale osservandone l’URL.
Non utilizzare mai le stesse password. Molti utenti mantengono abitualmente la stessa password per tutti i loro account. Se lo fai anche tu, potresti metterti nei guai perché se uno qualsiasi dei tuoi account viene compromesso, il rischio di essere compromesso per tutti i tuoi account diventerà elevato.
Installa un buon antivirus. L’antivirus protegge i nostri sistemi da virus e malware. Dovresti installare un buon antivirus sul tuo sistema e mantenerlo aggiornato per proteggerti dagli attacchi più recenti.
Spero che aiuti.
Qual è la difesa contro il cracking delle password?
La difesa dagli attacchi di cracking delle password consiste nel creare una password lunga e complessa. Includi tutti i caratteri nelle tue password, inclusi gli alfabeti (sia in maiuscolo che in minuscolo), caratteri speciali, numeri, simboli, ecc.
Perché si chiama cracking delle password?
Si chiama cracking delle password perché l’aggressore utilizza tutti i metodi possibili per conoscere la password corretta in modo da poter accedere all’account della vittima.
Lascia un commento