search
Il media che reinventa l'impresa
Registrare un software

Attacco con dizionario: e se la soluzione fosse un dizionario di password?

Attacco con dizionario: e se la soluzione fosse un dizionario di password?

Da Jennifer Montérémal

Il 29 ottobre 2024

Sapevate che esistono dizionari di password liberamente disponibili su Internet?

Sebbene questo possa sembrare a prima vista spaventoso, in quanto significa che gli hacker possono utilizzarli, ci sono anche dei vantaggi per le aziende!

Come possono farlo?

In questo articolo esaminiamo più da vicino il concetto di elenchi di password e vi spieghiamo come potete utilizzarli per proteggervi dagli attacchi dei dizionari. Vi daremo inoltre alcuni consigli su come rendere ancora più sicure le password utilizzate all'interno della vostra organizzazione.

Che cos'è un dizionario di password?

Definizione di dizionario delle password

Un dizionario di password, noto anche come elenco di password, raccoglie una serie di password, solitamente violate o provenienti da violazioni della sicurezza.

Questi dizionari hanno due scopi.

In primo luogo, sono utili agli hacker che utilizzano attacchi a dizionario. In seguito a violazioni di account, come quella effettuata su LinkedIn nel 2012 (che ha visto rubare le informazioni di 100 milioni di utenti), gli hacker spesso mettono a disposizione su Internet i dati ottenuti, in particolare vendendoli sul dark web.

Ma la buona notizia è che il contenuto di questi elenchi di password è utile anche a privati e aziende: grazie ad essi, infatti, è possibile verificare se le proprie password sono incluse.

Ad esempio, i CIO e i responsabili della sicurezza delle organizzazioni possono utilizzarli per simulare attacchi a dizionario, verificando così la vulnerabilità delle password utilizzate dal personale. In effetti, il NIST, l'equivalente americano dell'ANSSI, include questo tipo di verifica nelle sue raccomandazioni.

Attacchi con dizionario

Per capire meglio in che modo gli elenchi di password possono aiutarvi, dobbiamo esaminare il concetto di attacchi al dizionario.

Gli attacchi al dizionario sono uno degli attacchi informatici più comuni, insieme agli attacchi a forza bruta e ai tentativi di phishing.

Consistono nel testare una serie di potenziali parole, una dopo l'altra, utilizzando un determinato dizionario, fino a trovare quella giusta.

Per farlo, gli hacker utilizzano :

  • elenchi di password già divulgate,
  • termini contenuti nei dizionari più comuni,
  • variazioni :
    • combinazioni di caratteri utilizzate di frequente (abc123),
    • password modificate con il leet speak, un metodo che consiste nell'utilizzare caratteri visivamente vicini a quelli iniziali ("MOTDEPASSE" diventa "M07D3P4553"),
    • ripetizioni (passwordpassword),
    • parole che includono il nome dell'organizzazione di destinazione o una denominazione simile, ecc.
  • altri tipi di elenchi come :
    • date di nascita o date di eventi famosi,
    • cognomi,
    • targhe, ecc.

☝️ Se questo tipo di attacco funziona, è perché molti utenti di Internet rimangono disattenti e continuano a usare termini comuni o stringhe di caratteri per costruire le loro password, in particolare :

  • nomi propri (nome, città, paese, ecc.),
  • sostantivi comuni (animale, aggettivo, ecc.),
  • sequenze logiche di numeri (123 456), ecc.

Dove posso scaricare i dizionari delle password?

Siete un CIO e state cercando di accedere ai famosi dizionari di password per testare la sicurezza della vostra azienda?

Ce ne sono molti in circolazione, quindi diamo un'occhiata ai principali.

Il dizionario delle password di CrackStation

L'elenco delle password di CrackStation è stato pubblicato dal famoso hacker Stun... e contiene ben 1.493.677.782 parole!

Il motivo per cui questo dizionario di password gratuito disponibile come torrent è così completo è che è stato compilato da una varietà di fonti:

  • risultati del dizionario
  • elenchi di password provenienti da recenti hack, trovati su Internet,
  • termini dai database di Wikipedia (in tutte le lingue),
  • parole tratte dai libri del Progetto Gutenberg, una biblioteca elettronica di opere principalmente di pubblico dominio.

Progetto Richelieu

Il progetto Richelieu ha prodotto un dizionario di password gratuito, distribuito su GitHub con licenza Creative Commons Attribution.

Fornisce un elenco delle 20.000 password francesi più utilizzate negli ultimi anni, ricavate da fughe di dati e associate a indirizzi e-mail con nome di dominio ".fr".

Il dizionario delle password di Kali Linux

Kali Linux è una soluzione open source che riunisce una serie di strumenti relativi alla sicurezza informatica, utilizzati in particolare per effettuare test di penetrazione.

Tra questi troviamo Crunch, che consente di generare dizionari di password per effettuare test di attacco a dizionario.

Si noti inoltre che con l'ambiente Kali Linux è possibile accedere a Hydra, uno strumento di cracking delle password che aiuta a simulare gli attacchi a dizionario e a forza bruta.

Software Specops Password Policy

Il software Specops Password Policy aiuta le aziende che utilizzano Active Directory a gestire la propria politica delle password.

Per consentire alle organizzazioni di proteggersi dagli attacchi a dizionario, la soluzione include un sistema di filtraggio delle password basato su un dizionario contenente diversi miliardi di entità provenienti dai principali attacchi:

  • la fuga di notizie Collection #1-5
  • l'elenco Have I Been Pwned compilato dall'esperto di sicurezza Troy Hunt, ecc.

In questo modo, se un dipendente sceglie una password da questo elenco, il software lo avverte di passare a un'opzione più sicura.

I nostri consigli per proteggersi dagli attacchi a dizionario

Oltre all'uso di elenchi di password, una buona protezione contro gli attacchi con dizionario implica l' adozione di comportamenti di sicurezza di base, come quelli raccomandati dall' ANSSI.

Adottare buone pratiche per le password

Innanzitutto, è necessario rendere le password più complesse, in modo da essere completamente protetti dagli attacchi a dizionario e fortemente protetti dagli attacchi a forza bruta.

La password ideale è composta come segue:

  • essere lunga tra gli 8 e i 12 caratteri (se possibile di più),
  • contenere una combinazione di caratteri speciali, lettere maiuscole, lettere minuscole e numeri.

E naturalmente, come avrete capito, non deve fare riferimento a qualcosa di già esistente, come una parola del dizionario o una parola di un sito web.Come le parole del dizionario o le sequenze "logiche" come le date di eventi famosi.

Infine, è opportuno osservare altre buone pratiche:

  • rinnovare regolarmente la password (ogni 90 giorni, secondo l'ANSSI),
  • non utilizzare la stessa password per più account,
  • limitare il numero di tentativi di accesso autorizzati, ad esempio a tre.

Salatura delle password

Per non memorizzare le password in chiaro nelle applicazioni, spesso vengono memorizzate in forma di hash.

Il problema è che gli hacker dispongono di dizionari, noti come tabelle arcobaleno, che possono aggirare questo sistema.

È qui che entra in gioco il salting delle password: aggiunge una sequenza di bit casuali alla password utilizzata, rendendo più difficile l'uso delle tabelle arcobaleno.

Utilizzare un gestore di password

Ammettiamolo, spesso è difficile generare password memorabili, complesse e uniche.

Per questo motivo consigliamo di utilizzare un password manager. Con questo tipo di software, basta memorizzare una password principale per accedere ai vari account in totale sicurezza.

Ora conoscete l'utilità dei dizionari di password. Ora sta a voi farne buon uso e osservare tutte le regole di base della sicurezza informatica per proteggere la vostra azienda nel modo più efficace possibile dagli attacchi informatici.

Articolo tradotto dal francese