Brute Force Attack e Dictionary Attack sono entrambi metodi di attacchi alla sicurezza informatica. L'aggressore tenta di accedere all'account di un utente mediante tentativi sistematici di combinazioni di tasti e potenziali password fino a quando non viene trovata quella corretta.
Gli aggressori della sicurezza informatica riconoscono e registrano le abitudini degli utenti poco esperti e le utilizzano a loro favore per ottenere l'accesso ai profili delle persone online e offline.
Punti chiave
- Gli attacchi di forza bruta tentano tutte le possibili combinazioni di caratteri, mentre gli attacchi con dizionario utilizzano un elenco predefinito di parole o frasi.
- Gli attacchi di forza bruta richiedono più tempo e potenza di calcolo rispetto agli attacchi con dizionario.
- Gli attacchi con dizionario sono più efficaci quando prendono di mira sistemi con password deboli o comuni.
Forza bruta contro attacco del dizionario
Un attacco di forza bruta comporta l'utilizzo di tentativi ed errori con un gran numero di combinazioni di tasti per indovinare essenzialmente una password, informazioni di accesso, chiavi di crittografia o trovare una pagina Web nascosta. Un attacco con dizionario prevede che l'aggressore inserisca le password da un elenco preimpostato di probabili password.
L'attacco Brute Force è un metodo di hacking crittografico che prevede l'accesso non autorizzato alle informazioni di accesso o alle chiavi di crittografia esaminando l'intero spazio delle chiavi dell'algoritmo attraverso il processo di tentativi ed errori.
Poiché si tratta di un compito esaustivo che non richiede alcun coinvolgimento intellettuale, quindi, generalmente, vengono utilizzati strumenti per svolgere il lavoro.
Dictionary Attack è una forma di attacco di forza bruta che sfrutta gli utenti poco esperti che utilizzano passcode non univoci. In questo caso, l'intruso utilizza un elenco di parole o frasi comuni potenzialmente utilizzate da individui e aziende come password per ottenere l'accesso a computer, reti o altre risorse IT protette.
Tavola di comparazione
| Parametri di confronto | Brute Force | Dizionario attacco |
|---|---|---|
| Definizione | L'aggressore tenta tutte le possibili combinazioni di passcode. | L'aggressore utilizza un elenco precompilato di passcode conosciuti. |
| Efficacia | Brute Force è più efficace se il passcode è breve. | Dictionary Attack è più efficace se il passcode è di uso comune. |
| Fattori che influenzano il tempo | Il tempo impiegato dipende dalla lunghezza e dalla forza del passcode. | Il tempo impiegato dipende dalla lunghezza del dizionario. |
| Numero di chiavi | È coinvolto un gran numero di combinazioni di tasti. | Questo è limitato solo a un certo numero di chiavi. |
| Utilità primaria | Viene utilizzato per attaccare gli algoritmi di crittografia. | Viene utilizzato per attaccare le password. |
| Possibilità di successo | Destinato al successo. | Potrebbe non avere successo. |
Cos'è la forza bruta?
Gli aggressori della sicurezza informatica hanno a disposizione una miriade di strumenti che tentano ogni possibile combinazione di numeri, lettere e caratteri speciali e prima o poi indovinano la password corretta e li aiutano a violare la privacy di un utente.
Questi strumenti possono essere programmati per includere o escludere lettere, numeri e simboli secondo i protocolli di formazione della password dell'organizzazione, a condizione che l'attaccante ne sia a conoscenza.
Gli attacchi avanzati di forza bruta creano password fuori sequenza facendo determinati presupposti durante l'attacco.
Ad esempio: è più probabile che il primo carattere sia maiuscolo, ecc. La vulnerabilità di una password a un attacco di questo tipo con forza bruta dipende dalla lunghezza della password.
Un pin a quattro cifre potrebbe richiedere meno di un minuto per essere decifrato. Una password di sei caratteri potrebbe richiedere un'ora. Otto caratteri, comprese lettere e caratteri speciali, possono prolungare il processo per giorni.
Con ogni nuovo personaggio aggiunto, la forza e successivamente la quantità di tempo necessaria per decifrarlo aumenta in modo esponenziale. Tuttavia, va considerato che, indipendentemente dalla lunghezza e dalla robustezza, ogni password è vulnerabile a questa natura di attacco e soggetta alle condizioni di potenza di calcolo sufficiente ed efficiente e alla dedizione dell'attaccante, è solo questione di tempo prima che la password viene infine svelata.
Una password potrebbe essere così lunga che ci vogliono anni per decifrarla sotto un attacco di forza bruta, ma se conservata, decifrarla lo farà.
Che cos'è l'attacco del dizionario?
Gli attacchi con dizionario funzionano in base al principio di base secondo cui la maggior parte degli utenti, a causa della riluttanza o dell'incapacità di ricordare le password, ricorre all'uso di parole generiche di una lingua esistente e delle tipiche tendenze delle password per proteggere i propri dati e dispositivi.
Un Dictionary Attack si basa su un inventario di passphrase usate spesso.
Inizialmente, questi attacchi utilizzavano parole trovate in un dizionario, da cui il nome. Ma al giorno d'oggi, su Internet si trovano apertamente elenchi infiniti di possibili passcode costituiti da passcode ottenuti da violazioni della sicurezza precedentemente effettuate con successo.
(come 'password', 'thepasswordis1234', '1234…', 'letmein', ecc.) e password che sono state precedentemente utilizzate in altri siti web (nel caso in cui l'utente abbia riutilizzato le password).
Il dizionario viene creato esaminando le tendenze e i modelli osservati tra gli utenti durante la creazione delle password. Potrebbero anche includere informazioni cruciali sull'obiettivo (compleanni, anniversari, nomi di animali domestici, ecc.).
Dictionary Attack è un metodo efficace di attacco alle password basate su parole semplici. Tuttavia, la maggior parte dei sistemi moderni vieta e impedisce ai propri utenti di impostare password così semplici e li obbliga a crearne di più forti e più uniche che non si troveranno in un elenco di parole.
Il tempo è impiegato per tentare l'irruzione e le sue possibilità di successo dipendono dall'esaustività del dizionario.
Principali differenze tra forza bruta e attacco del dizionario
- In un attacco Brute Force, esiste un percorso sistematico in cui ogni carattere di un passcode, pin, ecc., viene decifrato in modo indipendente dal software soggetto alle disposizioni seguite durante la formazione della password che determina l'estensione dello spazio delle chiavi. In Dictionary Attack, il software adotta un metodo di tentativi ed errori per determinare la password completa.
- In termini di efficacia, la forza bruta è più efficace quando la password è breve. Questo perché altrimenti, a seconda del numero di caratteri, un attacco di forza bruta può impiegare da meno di un minuto a diversi anni per decifrare una password. Considerando che, se la password è di uso comune o utilizza un modello standard, è più probabile che sia presente in un dizionario, rendendo gli attacchi del dizionario più efficaci.
- La quantità di tempo necessaria a un attacco Brute Force per decifrare un codice dipende dalla lunghezza del codice perché questo metodo indovina ogni carattere del passcode individualmente. Nel caso di Dictionary Attack, il tempo è più breve perché affronta l'intero passcode in una volta.
- Brute Force è utile quando lo spazio delle chiavi dell'algoritmo da decifrare è ampio e sono coinvolti un numero più significativo di combinazioni di tasti e permutazioni. Gli attacchi di dizionario sono la strada da percorrere quando si affrontano password in cui lo spazio delle chiavi è molto più piccolo e ci sono schemi definiti nelle password.
- Gli attacchi Brute Force vengono utilizzati principalmente per attaccare gli algoritmi di crittografia, poiché questi sono composti da serie casuali di numeri. Gli attacchi Dictionary vengono utilizzati per attaccare e decifrare le password, poiché contengono parole e schemi che un dizionario enciclopedico può decifrare.
- Gli attacchi Brute Force sono destinati ad avere successo con un tempo sufficiente. Tuttavia, è pertinente ricordare che adeguato può significare qualsiasi cosa, da pochi secondi a tutta la vita. Il successo di un Dictionary Attack dipende dalla completezza del dizionario.
- https://ieeexplore.ieee.org/abstract/document/8400211
- https://onlinelibrary.wiley.com/doi/abs/10.4218/etrij.09.0209.0137
Ho messo così tanto impegno scrivendo questo post sul blog per fornirti valore. Sarà molto utile per me, se pensi di condividerlo sui social media o con i tuoi amici/familiari. LA CONDIVISIONE È ♥️
