fbpx

Se le tue conoscenze sull’hacking si limitano a quanto mostrato in film e telefilm, potresti pensare che gli hacker rubano le password digitando furiosamente su tastiere rumorose in stanze buie, scanditi da un conto alla rovescia serrato mentre ascoltano musica techno.

La verità, pur essendo meno drammatica, è molto più interessante.

Altri articoli che potrebbero interessarti:

hacker-password-come-metodi-copertina

I metodi più utilizzati dagli hacker per scovare le password

Ecco i modi più comuni in cui gli hacker ottengono veramente le password:

Violazioni di dati

Il modo più semplice e diffuso tra gli hacker per ottenere le password è rappresentato dalle classiche violazioni dei dati (o data breach in inglese), in cui enormi quantità di dati detenuti dalle aziende sui propri utenti, vengono rubate o trapelate in qualche altro modo. Questi dati, che spesso includono nomi utente e password, vengono raccolti in database e possono essere venduti sul dark web o scaricati liberamente su alcuni forum.

Poiché molti utenti riutilizzano le proprie password, gli hacker possono usare le password ottenute tramite un data breach di un’azienda per provare ad accedere ad account presso altre aziende, anche se queste dovessero essere dotate di un miglior livello di sicurezza informatica.

Credential Stuffing

Dopo aver ottenuto un elenco di username e password dalla violazione dei dati di un’azienda, gli hacker possono tentare il credential stuffing, ovvero l’uso di bot automatizzati per provare ogni combinazione di nome utente/password su un altro sito web, come un social media, finché una di queste non funziona.

Password Spray

Se un aggressore dispone di un nome utente (o di un elenco di nomi utente) ma non di password, può comunque provare a identificarle usando un elenco delle password più comunemente utilizzate (ad esempio 12345, abc123, qwerty, scopri le password più utilizzate), una tecnica chiamata password spraying.

Poiché molti siti limitano il numero di tentativi di accesso per utente, il password spraying è più efficace se distribuito su un’ampia gamma di username.

Brute Force

Un metodo simile, ma più complicato, è l’attacco brute-force, in cui un hacker prova tutte le password possibili fino a trovare quella corretta.

L’attacco brute-force è esoso in termini computazionali, ma può avere successo rapidamente se la password è sufficientemente corta o se l’aggressore dispone già di alcune informazioni sulla password.

Phishing

Un modo molto efficace per rubare la password di qualcuno è quello di indurlo a inserirla in una schermata di login fasulla, una forma di phishing.

Il phishing funziona così bene perché l’anello più debole di qualsiasi sistema di sicurezza sarà sempre il fattore umano. Non importa quanto sia sofisticato il vostro software di sicurezza: se si riesce a ingannare un umano con il giusto livello di credenziali, è fatta. Se vuoi saperne di più, su Stolas Informatica parliamo spesso di phishing e smishing.

Social Engineering

Il phishing in realtà non è che una forma di ingegneria sociale, una classe più ampia di attacchi che fa leva sulla credulità umana.

I dipendenti di alcune aziende sono stati indotti a fornire le password da truffatori che si spacciavano per manager di alto livello tramite e-mail, messaggi o persino al telefono. Si tratta di una tecnica sorprendentemente efficace: i dipendenti di aziende medio-grandi potrebbero non aver mai incontrato il loro amministratore delegato e non riconoscerne la voce.

Keylogging

Il keylogging è l’equivalente informatico di un’intercettazione telefonica. Ma invece di registrare l’audio di un telefono, registra le sequenze di tasti premuti su un computer.

Spesso installati tramite malware, i keylogger possono “ascoltare” la tua tastiera e inviare le battute registrate all’hacker, che potrà quindi utilizzare il contesto per determinare quali battute compongono le vostre password.

Shoulder Surfing

L’opzione meno tecnologica è spesso la più efficace. Se qualcuno vuole la tua password e ti è fisicamente vicino, non deve fare altro che guardarti mentre navighi su internet.

Password predefinite

Alcune password non hanno bisogno di essere rubate dagli hacker, perché sono già note.

Questo è spesso il caso di molti dispositivi hardware dotati di credenziali di accesso predefinite. Se non hai mai cambiato la password predefinita del tuo router Wi-Fi, ad esempio, qualcuno potrebbe accedere semplicemente inserendo admin come username e password.

Come impedire agli hacker di ottenere le tue password

Come puoi evitare che gli hacker si impossessino delle tue password? Sicuramente diventando un bersaglio più difficile, cosa che puoi fare adottando alcuni semplici accorgimenti per migliorare la sicurezza delle tue credenziali:

  • Presta molta attenzione agli attacchi di phishing. Non cliccare su link con URL sospetti, anche se sembrano provenire da una fonte affidabile.
  • Cambia la password predefinita del tuo router e di qualsiasi altro dispositivo.
  • Quando possibile, usa sempre l’autenticazione a due fattori (2FA).
  • Non riutilizzare le password. Tutti i tuoi account devono avere una password unica.
  • Crea password robuste. Utilizza un generatore automatico di password casuali per creare password complesse di qualsiasi lunghezza.
  • Usa un password manager. Un buon gestore di password può generare e memorizzare password complesse e uniche per tutti i tuoi account, senza che tu debba ricordartele.
Prova Subito Dashlane

Cosa ne pensi di questi metodi utilizzati dagli hacker per ottenere le password? Ne sei mai stato vittima? Commenta qui sotto e condividi questo articolo con i tuoi amici! Non dimenticarti di iscriverti alla newsletter di Stolas Informatica e di seguirci su FacebookInstagram e Telegram per rimanere sempre aggiornato.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Torna su

Segui Stolas!

Iscriviti alla mailing list di Stolas per ricevere in anteprima novità e sconti!

Grazie per esserti iscritto!

Something went wrong.

Segui Stolas!

Iscriviti alla mailing list di Stolas per ricevere in anteprima novità e sconti!

Grazie per esserti iscritto!

Something went wrong.