Un attacco Brute Force (o Forza Bruta in italiano), è un attacco nella quale si provano una semi-infinita (dipende dalla lungezza della password) serie di password possibili, per avere un determinato accesso per un determinato account (email, di un OS, Sito Web ecc).

Questo attacco si può eseguire sia in locale che da remoto. E’ l’attacco più facile e più lento possibile.

Sostanzialmente, quello che andiamo a fare è provare tutte le possibili combinazioni esistenti. Se volessimo scassinare una cassaforte, invece di ragionare e provare possibili sequenze utilizzate dal proprietario della cassaforte, dovremmo iniziare a tentare tutte le possibili combinazioni, una alla volta: 0000, 0001, 0002…..9997, 9998, 9999.

Brute force delle password

Bruce Force Attack

In questo attacco vengono provate tutte le combinazioni di lettere, numeri e simboli possibili.

Il problema di questo attacco è che, non conoscendo la lunghezza della password da trovare (potrebbe avere un solo carattere come averne 10) e come è composta (lettere, numeri, simboli) ciò rende molto difficile (ma non impossibile) riuscire a trovare la password che stiamo cercando.

Inoltre, il tempo di ricerca della password dipenda dalla (o dalle) macchine utilizzate, e la posizione della password vittima (rete locale o internet).
Ad ogni modo, utilizzando una parola italiana di 8 caratteri come password la sua sicurezza (il numero di tentativi che un attaccante deve fare) non è di 263 tentativi (una sicurezza equivalente a una chiave casuale di 64 bit) ma piuttosto il numero totale di parole italiane di 8 caratteri (una sicurezza equivalente a meno di 16 bit) perciò è consigliato utilizzare parole generate casualmente che comprendono numeri e caratteri speciali.

Mentre il Bruteforce viene considerato generalmente l’ultima risorsa, un’attacco simile ma leggermente più efficiente potrebbe essere l’utilizzo di un dizionario.