Gli attacchi ibridi alle password sono sempre più frequenti. La caratteristica principale di tali attacchi è che possono partire da un punto qualsiasi dell’infrastruttura. Sfruttano accessi compromessi o vulnerabilità su più strumenti e piattaforme, oppure ancora approfittano di risorse cloud scalabili, così da amplificare l’impatto.
Quando gli hacker uniscono insieme più tecniche di cracking delle password aumenta l’efficacia dell’attacco e difendersi è più difficile. Di solito, tra l’altro, l’obiettivo dei criminali informatici non sono solo le password. Vediamo quali sono i principali attacchi ibridi e come agire, per evitare che credenziali e informazioni critiche aziendali finiscano nelle mani sbagliate.
Negli attacchi ibridi alle password più comuni, gli hacker combinano un attacco di forza bruta con un attacco a dizionario. Il primo utilizza in modo ripetuto l’approccio della prova e dell’errore per indovinare, attraverso un software, informazioni di accesso e chiavi di criptaggio. Possiamo immaginarlo come un ladro che prova più e più volte, velocemente, a sfondare la porta di un appartamento. All’iterazione dell’attacco brute force i criminali affiancano la possibilità di sfruttare un elenco delle password usate più comunemente, per testare in modo rapido moltissime combinazioni di credenziali, fino a trovare quella giusta.
Come è facile immaginare, questa tecnica ibrida è molto efficace quando le password impostate sono corte, poco complesse e impiegano parole comuni. Questo è il motivo per cui impostare come chiave di accesso a una macchina o a una piattaforma la parola Password seguita da una semplice successione di numeri o ancora il nome del brand con alcune lettere maiuscole e altre minuscole non è mai una buona idea. Anche le sequenze di tasti come Qwerty o Asdfgh sono da evitare.
L’attacco mascherato è una tipologia specifica di attacco brute force. In questo caso il criminale ha già delle informazioni sull’organizzazione che intende attaccare. Solitamente conosce le modalità con cui sono costruite le password e quindi riesce a dare al software di hacking alcune indicazioni per identificare più velocemente le sequenze giuste di lettere e numeri. Ad esempio, l’hacker sa che ogni password inizia con una lettera maiuscola, è lunga 8 caratteri e termina con una sequenza di numeri. Tutti questi parametri vengono sfruttati per aumentare l’efficacia dell’attacco. Che si tratti di attacchi ibridi oppure no, tutte le volte in cui gli hacker hanno in mano delle informazioni sul sistema di sicurezza aziendale, le conseguenze sono ancora più rapide e devastanti.
Per una difesa efficace contro gli attacchi ibridi, è essenziale adottare una rigida politica di creazione delle password. Tutte le password deboli o potenzialmente compromesse vanno eliminate e sostituite con password sicure, meglio ancora se generate da un software di password management. Nessuna strategia è sicura al 100% ma così come gli hacker usano attacchi ibridi per aumentare la possibilità di fare breccia nei sistemi, allo stesso modo è possibile combinare più strategie per prevenire o rallentare gli hacking.
Prima di tutto è bene attivare, quando possibile, l’autenticazione a due o più fattori, che richiede agli utenti, oltre alla password, anche altri sistemi di accesso. Spesso l’autenticazione a più fattori usa un codice temporaneo da ricevere sul telefono o sulla mail aziendale, in aggiunta alla password impostata dall’utente. In questo modo, anche se le password finiscono nelle mani sbagliate, diventa comunque possibile tenere i criminali informatici “fuori dalla porta”.
Le password aziendali dovrebbero rispondere a tutta una serie di caratteristiche per costituire una barriera sufficientemente efficace. Ad esempio dovrebbero essere lunghe, almeno 20 caratteri, e combinare lettere e numeri in modo casuale, o mettere insieme parole senza alcun nesso tra loro o con l’organizzazione. Banalmente, più lunga è la passphrase più tempo è necessario agli hacker per avere successo con gli attacchi ibridi che sfruttano la forza bruta e l’attacco a dizionario.
Bisogna essere consapevoli, però, del fatto che anche le password più forti possono essere compromesse a causa di attacchi di phishing o violazioni. In molti casi, gli hacker riescono ad accedere alle reti aziendali usando credenziali utente o amministratore legittime e usano active directory compromesse per prendere possesso di tutta una serie di informazioni.
Per capire quali sono le password compromesse, si possono usare strumenti capaci di analizzare le password, e in particolare le active directory, identificando quelle problematiche. In rete esistono diversi software gratuiti in grado di analizzare le active directory e rilevare le debolezze che riguardano le impostazioni delle password. Usandoli si ottengono report che mostrano gli account che impiegano password compromesse, deboli o duplicate.
L’implementazione di una policy delle password più efficace e l’uso di un software per identificare quelle deboli o duplicate aumenta in modo significativo la possibilità di difendersi dagli attacchi ibridi. Ecco perché: