Brute Force
Gli attacchi di forza bruta (Brute Force attack) sono abbastanza comuni.
Un attaccante che decide di utilizzare il meccanismo di forza bruta cerca password diverse fino a quando non trova quella corretta.
Un po’ di finezza rende il compito più veloce, ad esempio utilizzando il dictionary attack, ma la forza bruta non è sicuramente tra i metodi più veloci per trovare password.
Il metodo presuppone che l’algoritmo utilizzato per l’hashing delle password, l’id utente e il valore hash della password siano noti all’attaccante.
Di solito l’hacker entra nel sistema target e ruba il file o il database delle password.
I personal computer di solito hanno solo poche coppie ID utente/password da decifrare e non sono quindi desiderabili come un server aziendale con migliaia di coppie ID/password.
L’hacker potrebbe semplicemente iniziare con possibilità di hashing come “a”, “A”, “ab”, “Ab”, “aB”, “AB”, “AZ” e così via fino a quando non viene individuato un hash che corrisponde all’hash password dell’utente.
Una volta individuata la combinazione di caratteri che produce lo stesso codice hash rubato sul sistema target, conoscendo l’algoritmo, l’hacker deve compiere una banale operazione di decodifica per ottenere i dati in chiaro.
Il punto di forza del meccanismo brute force è anche il suo principale punto debole; se infatti tramite questa tecnica è possibile decifrare potenzialmente qualsiasi password, tale metodo risulta molto sconveniente o addirittura impraticabile per password composte da molti caratteri e non presenti in dizionari già pre-costruiti.
In alcuni casi potrebbero occorrere anche anni per decriptare una password non banale, anche ricorrendo a sistemi di calcolo molto avanzati!