Come deducono gli hacker le password senza l’aiuto dell’IA?
Nell’era della sicurezza informatica, la maggior parte delle organizzazioni pone l’accento su regole di complessità delle password o su soluzioni sofisticate come l’intelligenza artificiale per la protezione degli account. Tuttavia, gli attaccanti non hanno necessariamente bisogno dell’AI per indovinare le password; i metodi classici, ben compresi e adattati al contesto, rimangono estremamente efficaci.
Perché gli attacchi basati sull’indovinare le password funzionano senza AI
Contrariamente alla percezione generale, la maggior parte degli attacchi di indovinamento delle password non implica modelli di intelligenza artificiale o tecniche avanzate di apprendimento automatico. Invece, gli attaccanti utilizzano elenchi di password generate basate sul linguaggio e sulle informazioni pubbliche disponibili sull’organizzazione target.
Questo approccio sfrutta un fatto semplice: gli utenti tendono a creare password che sono facili da ricordare. Invece di optare per combinazioni completamente casuali di caratteri, includono nelle password termini familiari. Ad esempio, il nome dell’azienda, prodotti, località o altri dettagli associati all’organizzazione.
Cosa sono le liste di password contestualizzate (targeted wordlists)
Le liste di password adattate al contesto sono generate raccogliendo parole ed espressioni da fonti pubbliche dell’organizzazione mirata. Queste includono siti web, blog, pagine di descrizione dei servizi, ecc. Le informazioni raccolte vengono poi trasformate in possibili combinazioni di password.
Uno strumento molto popolare per questo compito è CeWL (Custom Word List Generator), un crawler open-source ampiamente utilizzato sia da pentester che da attaccanti. CeWL estrae termini da pagine web e poi crea un elenco di parole che riflette il linguaggio specifico dell’organizzazione.
Questi termini “contestuali” includono di solito:
- Il nome dell’azienda o dell’organizzazione
- Servizi, prodotti o acronimi interni
- Nomi di località o progetti
- Termini industriali rilevanti per il settore.
La lista risultante può sembrare insolita per un attacco informatico “generico”, ma per un attacco mirato è particolarmente efficace, poiché riflette esattamente il linguaggio utilizzato all’interno dell’organizzazione.
Come si deducono, praticamente, le password
Un semplice elenco di parole estratte dal sito non è sufficiente per un attacco efficace. Questo “database” è poi sottoposto a un “trattamento” con permutazioni e combinazioni per generare password. Esempi di trasformazioni includono:
- Aggiunta di cifre alla fine delle parole (ad es. Azienda123)
- Cambiamenti di capitalizzazione (azienda, Azienda, AZIENDA)
- Aggiunta di simboli come !, @, #
- Combinazione di più termini in un’unica stringa.
Strumenti come Hashcat consentono poi di utilizzare queste regole di mutazione su larga scala, rendendo così possibile un’efficace verifica di milioni di combinazioni basate sulla stessa lista tematica.
Perché le regole classiche di complessità non sono sufficienti
La maggior parte delle politiche di approvazione delle password richiede ancora:
- Minimo un carattere maiuscolo
- Almeno una cifra
- Minimo un carattere speciale.
Il problema è che queste regole sono facili da soddisfare e anche le password costruite con termini sensibili, ma modificate superficialmente, possono rispettare i requisiti di complessità. Ad esempio, la password
NumeCompanie123!è lunga e rispetta tutti i criteri tecnici, ma rimane estremamente prevedibile se l’attaccante ha una base di informazioni sull’organizzazione in questione.
Secondo le analisi effettuate su miliardi di password compromesse, tali scelte sono comuni e facilmente sfruttabili.
Come difendersi efficacemente
1. Evita le password basate su linguaggio contestuale
Le regole politiche dovrebbero andare oltre i requisiti di complessità di base e impedire l’uso di:
- Il nome dell’azienda o del sistema
- I nomi dei progetti interni
- Termini di settore
- Variabili chiare o facilmente associabili all’organizzazione.
2. Blocca le password già compromesse
Una pratica moderna è il blocco delle password già trovate in violazioni di dati conosciute. Questo previene il riutilizzo delle stesse password compromesse, anche se rispettano i requisiti di complessità.
3. Crea password lunghe e reali (passphrase)
Le password sotto forma di frase lunga (15+ caratteri), formata da parole non correlate, sono considerevolmente più difficili da indovinare anche per attacchi mirati.
4. Attiva l’autenticazione multi-fattore (MFA)
L’MFA non impedisce la compromissione di una password, ma riduce significativamente il rischio che un attaccante utilizzi la password compromessa per ottenere accesso.
Conclusione
Gli attacchi basati sulla deduzione della password non si basano sempre su algoritmi AI avanzati, a volte i metodi più efficaci sono quelli semplici, ma ben adattati al contesto. Generando elenchi di parole specifiche per il linguaggio e la terminologia specifica di un’organizzazione, gli attaccanti possono indovinare le password con un tasso di successo molto più elevato rispetto a se utilizzassero solo elenchi generici di password.
Per proteggerti correttamente, è essenziale implementare politiche di sicurezza orientate alla prevenzione dell’uso di password prevedibili, bloccare le password compromesse e applicare l’autenticazione multi-fattore dove possibile.
Fonte: bleepingcomputer.com
