Il brute-force attack è un attacco di tipo informatico compiuto da parti terze con l’obiettivo di arrivare a decifrare dati sensibili.
Questo sistema si avvale di un metodo per tentativi che mirano a riconoscere password e chiavi di crittografia, ma vengono colpiti spesso anche le chiavi API e gli accessi SSH.

Il brute-force attack ha come unico metodo per decifrare password e chiavi di crittografia quello di provare tutte le combinazioni possibili fino a quando non verrà trovata quella effettivamente giusta.
Ovviamente il tempo che impiegherà in questa operazione è direttamente proporzionale alla lunghezza e alla complessità della password da decifrare.

Questo tipo di attacco, infatti, a differenza di altri metodi di decifrazione non utilizza un metodo intellettuale, ma prova davvero a trovare la giusta combinazione passando una a una tutte quelle possibili.

Brute force attack: quali pagine web attacca di più?

L’attacco brute-force ha come punto a suo vantaggio quello di essere molto semplice da mettere in atto e, nella maggior parte dei casi, riesce sempre a portare a termine il proprio obiettivo, soprattutto se si ha a disposizione una buona quantità di tempo.

Tutti i siti e le pagine web che si reggono su un sistema di password e di chiavi di crittografia possono essere attaccati e violati da un attacco di questa tipologia.
Addirittura in alcuni casi vengono effettuati per valutare il grado di sicurezza e inviolabilità di un sito web, a seconda di quella che è il tempo che l’attacco impiega per decifrare il tutto si può infatti dire se una pagina è più o meno ben protetta.

Generalmente gli attacchi brute-force richiedono molto tempo e sono molto lenti visto che, come spiegato precedentemente, il meccanismo è quello di provare tutte le combinazioni possibili per trovare quella corretta.
Tutto dipende dalla lunghezza di quella che viene chiamata “stringa bersaglio”, ovvero la combinazione di caratteri che compone la password obiettivo dell’attacco.

Più lunga è la serie di numeri che la compongono, maggiore sarà il tempo e il lavoro che si dovrà fare per portare a termine l’attacco.
I siti e le pagine web che hanno password e stringhe bersaglio assai lunghe, infatti, rischiano davvero poco perché gli attacchi brute-force non riescono a decifrare serie che superano un certo numero di caratteri.

Come si può immaginare, quindi, nel caso di stringhe bersaglio che siano sufficientemente lunghe, un attacco potrebbe richiedere anche diversi giorni, mesi o anni per portare a termine la decifrazione della password.
Chi mette in atto questi tipi di attacchi quando si accorge della presenza si un codice da decifrare troppo lungo passa spesso ad altri metodi come l’ingegneria sociale o gli attacchi denominati on-path. 

Brute force attack: come difendersi?

Come per ogni tipo di attacco informatico esistono dei metodi per difendersi e vedere quindi ridotto il rischio che la nostra pagina web venga violata da brute-force.
Uno dei sistemi che hanno messo in pratica diversi sviluppatori è quello di bloccare e impedire l’accesso agli indirizzi IP che hanno generato troppi tentativi di accesso falliti al proprio sito.
Oltre a questo spesso è integrato un sistema che ritarda il controllo della password, il che riesce a indebolire l’efficacia di un possibile attacco.

I rischi per chi utilizza il web

Coloro che utilizzano quotidianamente le pagine e siti web per accedere ai servizi possono, in maniera molto semplice, ridurre il rischio che la propria password venga decodificata scegliendone una più lunga e complessa.
Un’accortezza che si può mettere in atto è quella di scegliere sempre una password differente per ogni servizio o iscrizione ai siti.
Il rischio, infatti, è che se colui che mette a segno l’attacco dovesse riuscire a decifrare una credenziale, immediatamente andrà su altri siti molto frequentati per provare ad appropriarsi dei dati sensibili di questo utente.
Un fenomeno che prende il nome di credential stuffing (che sta per sottrazione e uso illecito delle credenziali).

Un altro consiglio che resta sempre valido per ogni tipo di operazione sul web è quello di evitare assolutamente di inserire informazioni strettamente personali all’interno di piattaforme che non prevedono un forte sistema di sicurezza e di protezione attraverso chiavi di crittografia affidabili. 

Brute-force attack, come combatterli

Per combattere i brute-force attack, come puoi vedere, esistono diverso modi.
Alcuni riguardano strettamente i programmatori delle pagine web e dei siti di servizi dove tendenzialmente vengono richieste informazioni personali e dati sensibili, ma spesso è sufficiente seguire alcune piccole accortezze per ridurre il rischio di cadere in questa trappola.