Le password rappresentano una barriera all’accesso ai tuoi account, ed è per questo che i criminali informatici sono così entusiasti di prenderle di mira. L’atto di decifrare le password è estremamente popolare, ma c’è più di un metodo che può essere utilizzato qui.
Quindi, in che modo può essere condotto il cracking della password e puoi evitarlo?
Cos’è il cracking delle password?
Il cracking delle password viene utilizzato per scoprire le password degli utenti in modo che i loro account possano essere violati dai criminali informatici.
Molti dei nostri account, come quelli utilizzati per le operazioni bancarie, la socializzazione, lo shopping e il lavoro, sono protetti da password, quindi non sorprende che gli hacker vogliano mettere le mani su questi dati.
Entra nel cracking della password. Utilizzando vari metodi, gli attori malintenzionati hanno la possibilità di scoprire la tua vera password, dando loro accesso al tuo account se hanno anche il tuo indirizzo e-mail o nome utente (che può essere preoccupantemente facile da ottenere).
A seconda della complessità della tua password, potrebbe essere decifrata in un periodo compreso tra un paio di secondi e milioni di anni. Le password semplici sono ovviamente più facili da decifrare, quindi è importante strutturare la tua password in modo efficace per allontanare gli hacker (di cui parleremo più avanti).
I metodi di cracking delle password più popolari
Nel corso degli anni, il cracking delle password si è diversificato in numerosi metodi, alcuni più efficaci di altri. Quindi, quali sono i metodi più comunemente usati dagli hacker per violare le password?
1. Attacchi di forza bruta
Gli attacchi di forza bruta sono spesso utilizzati dai criminali informatici per hackerare gli account. Questo metodo di cracking comporta l’esecuzione di ogni possibile combinazione di lettere, numeri o simboli che possono essere inclusi in una data password. È essenzialmente un metodo per tentativi ed errori, o processo di eliminazione, che continua fino a quando non viene raggiunta la frase corretta.
Gli attacchi di forza bruta sono particolarmente efficaci su password più semplici, come quelle senza un mix di lettere maiuscole o simboli e numeri.
Un attacco di forza bruta può essere completato in meno di un minuto, anche se ci sono molti casi in cui ci vorrebbe molto più tempo. Alcuni criminali informatici lasceranno che il processo vada avanti per settimane, mesi o addirittura anni, a seconda del valore della password. Se l’attacco di forza bruta ha successo, atterrerà sulla password corretta, dando all’hacker l’accesso a tutto ciò che sta cercando di compromettere.
2. Phishing
Il phishing è una tattica popolare del crimine informatico e può essere utilizzato per il furto di dati e la diffusione di malware. Quando si tratta di violare le password, il furto di dati è l’ovvio obiettivo dell’attacco di phishing.
Gli attacchi di phishing avvengono comunemente tramite e-mail, SMS o social media (in particolare DM). Quando le credenziali di accesso sono l’obiettivo, l’attacco coinvolgerà spesso l’attore malintenzionato che invia ai bersagli una comunicazione impersonando un’entità ufficiale.
Ad esempio, un truffatore potrebbe inviare un’e-mail a una vittima affermando di essere un dipendente della banca prescelta. Nell’e-mail, in genere viene indicato che è stata rilevata un’attività insolita sul proprio account e che devono accedere online per verificare se si trattava di loro. Sotto il testo verrà fornito un collegamento alla presunta pagina di accesso. Tuttavia, in realtà, si tratta di un collegamento a una pagina di phishing dannosa progettata per sembrare quasi identica a una pagina di accesso ufficiale, rubando allo stesso tempo i dati immessi.
Se la vittima si innamora della truffa, inserirà le proprie credenziali di accesso nella pagina di phishing, che verranno poi raccolte dall’aggressore. A questo punto, l’attaccante ha il nome utente e la password per l’account della vittima, dando loro accesso non autorizzato.
3. Attacchi man-in-the-middle
Come suggerisce il nome, gli attacchi Man-in-the-Middle (MitM) coinvolgono un malintenzionato che si pone tra una vittima e un’applicazione o un sito web.
Gli attacchi man-in-the-middle possono presentarsi in molte forme, tra cui:
- Dirottamento della posta elettronica.
- Spoofing HTTPS.
- Spoofing HTML.
- Spoofing SSL.
- Spoofing Wi-Fi.
Una forma di attacco man-in-the-middle coinvolge l’operatore malintenzionato che intercetta attivamente l’interazione tra un utente e un server. In uno scenario di questo tipo, l’attaccante accederà a una rete tramite un punto debole, quindi eseguirà la scansione di un’applicazione o di un sito alla ricerca di una vulnerabilità di sicurezza. Quando viene rilevata una vulnerabilità, la prenderanno di mira e quindi inizieranno a prendere di mira gli utenti quando interagiscono con app e siti Web attraverso la rete compromessa.
Quindi, quando la vittima inserisce qualsiasi tipo di dati o riceve dati dall’applicazione, sarà visibile all’attaccante. In questo caso, se immettono una password, questa può essere recuperata dall’attaccante. Se questi dati devono essere decrittografati, questo sarà il passaggio successivo. Ora, i dati della vittima possono essere utilizzati dall’operatore malintenzionato in qualsiasi modo desiderino.
4. Registrazione tasti
Il keylogging è un metodo di furto di dati che prevede la registrazione di ogni battitura eseguita da una vittima sul proprio dispositivo, sia esso un PC desktop, laptop, tablet, smartphone o simili.
I keylogger si presentano sotto forma di malware; programmi dannosi utilizzati per attaccare. Quando un dispositivo viene infettato da un keylogger, l’operatore malintenzionato può quindi vedere tutto ciò che la vittima sta digitando, che potrebbe essere e-mail, informazioni di pagamento, credenziali di accesso o qualsiasi altra cosa!
Quindi, se mai accedi a un account su un dispositivo infetto da un keylogger o semplicemente digiti le tue credenziali di accesso in un’app di note o in un gestore di password, tutto ciò che inserisci può essere visto. Queste credenziali verranno quindi prese dall’attaccante e utilizzate per accedere a uno o più dei tuoi account online.
Devi sapere come rilevare e rimuovere i keylogger per proteggere i tuoi dati se i tuoi dispositivi vengono infettati.
Come evitare il cracking delle password
Evitare il cracking delle password richiede un paio di misure, a partire naturalmente dalle password che utilizzi. Sebbene sia allettante utilizzare una semplice password per tutti i tuoi account, questo ti espone in modo massiccio al cracking delle password, in particolare agli attacchi di forza bruta. La maggior parte dei siti Web delineerà alcuni requisiti per la creazione di password, come maiuscole e minuscole, l’uso di simboli e numeri e una lunghezza minima complessiva.
Questi sono solidi parametri da seguire, ma ci sono anche altre cose che dovresti evitare, come l’uso di informazioni personali (es. compleanni, nomi, ecc.) nelle tue password. Dovresti anche evitare di utilizzare la stessa password per tutti i tuoi account: se le tue credenziali finiscono nelle mani di un utente malintenzionato, hanno la possibilità di fare ancora più danni compromettendo più di un solo account.
Oltre a perfezionare le tue password, dovresti anche sapere come individuare le comunicazioni di phishing, poiché vengono utilizzate anche per rubare le credenziali di accesso. Alcuni segni che dovresti sempre cercare includono:
- Ortografia e grammatica scadenti.
- Un indirizzo email insolito.
- Link forniti.
- Collegamenti che un sito di controllo ha evidenziato come dannosi.
- Linguaggio eccessivamente persuasivo/urgente.
Dovresti inoltre prendere in considerazione l’utilizzo dell’autenticazione a due o più fattori per aggiungere un ulteriore livello di sicurezza ai tuoi account. In questo modo, se un utente malintenzionato tenta di accedere utilizzando il tuo nome utente e password, dovrai prima verificare il tentativo di accesso da un dispositivo o canale separato, come SMS o e-mail.
Il cracking delle password mette tutti a rischio
Non c’è dubbio che queste tecniche di cracking delle password minaccino la sicurezza e la privacy degli utenti di tutto il mondo. Enormi quantità di dati sono già state rubate tramite il cracking delle password e non si può dire che non sarai preso di mira. Quindi assicurati di sapere come evitare questa impresa dannosa per mantenere i tuoi account al sicuro.