Nel panorama della sicurezza informatica uno degli scenari più frequenti e in apparenza semplici è quello dell’attacco brute force. Ma cosa significa esattamente? Quali varianti esistono, come si misura il “tempo” necessario, e quali strumenti o “password checker” possono essere utilizzati dall’attaccante o dall’amministratore per testare la robustezza delle credenziali? Infine, altrettanto importante: come possiamo difenderci da queste minacce? In questo articolo affronteremo l’argomento in modo sistematico, includendo anche il fenomeno dell’attacco a dizionario (o “attacco a dizionario hacker”) – strettamente correlato al brute force – e spiegando, passo dopo passo, le misure di mitigazione.

Che cos’è un attacco brute force?

Un attacco brute force (o forza bruta) è un tipo di attacco informatico nel quale un aggressore prova ripetutamente diverse credenziali (password o chiavi crittografiche) fino a trovare quella corretta che consente l’accesso non autorizzato a un account, a un file protetto o a un sistema.

In genere, non è necessario individuare una vulnerabilità del software: l’attaccante basa tutto sulla potenza di calcolo e sulla persistenza (cioè la quantità di tentativi) per provare combinazioni sempre nuove, finché non ottiene la “chiave giusta”. L’efficacia dipende dalla lunghezza e complessità della password, dalle politiche di blocco, da quanti tentativi sono permessi, dalla capacità dell’attaccante di automatizzare i tentativi.

Il termine “brute force” tradotto letteralmente significa “forza bruta”, e descrive bene la modalità: “tentare tutte le combinazioni possibili” fino al successo. Una variante molto frequente è invece l’attacco a dizionario, dove l’aggressore sostituisce la “forza bruta totale” con una lista più mirata di parole e password “popolari” o “previste”.

Tempo necessario per un attacco brute force

Uno degli aspetti critici nell’analisi di queste minacce è: quanto tempo serve per riuscire? Quanto “tempo” richiede un attacco brute force? La risposta non è un’unica cifra, dipende da vari fattori:

• la lunghezza della password (es. 6 caratteri, 10, 12…);
• la complessità (solo lettere minuscole, lettere + maiuscole, numeri, simboli);
• il sistema di autenticazione: online (tentativi contro un servizio in rete) vs offline (dove l’attaccante ha già l’hash della password);
• quali contromisure sono in essere: lockout, CAPTCHAs, ecc.;
• la potenza di calcolo disponibile all’attaccante (CPU, GPU, cluster, cloud).

È importante considerare che “tempo” non significa sempre ore: può significare secondi in caso di password deboli, oppure anni (o virtualmente “impossibile” con le risorse attuali) in caso di credenziali ben progettate. Un attaccante ben equipaggiato può compiere migliaia o milioni di tentativi al secondo in scenari offline.

Le varianti

Mentre l’approccio “classico” brute force tenta tutte le combinazioni possibili, l’attacco a dizionario sfrutta liste pre‑compilate di parole (“dictionary”), password comuni, frasi note, parole chiave legate al contesto della vittima (nome della società, nome del servizio, “password123”, ecc). Questa tecnica è spesso molto più efficiente e veloce perché gli utenti spesso usano password deboli o prevedibili.

Nel gergo hacker ci si riferisce anche a “attacco a dizionario hacker” per indicare che l’aggressore ha predisposto liste specializzate e personalizzate per un target (es: settore, lingua, cultura locale). Spesso si aggiungono regole “ibridate” (come prendendo la parola dal dizionario e aggiungendo numeri o simboli) – questa è una fusione tra attacco a dizionario e brute force.

Questo tipo di attacco può essere implementato anche utilizzando un “Brute force attack password Checker”, ovvero strumenti che simulano i tentativi di ingresso per verificare la robustezza di una password o testarne la vulnerabilità. Quindi “password checker” serve sia all’attaccante per prepararsi sia all’amministratore per verificare se le proprie credenziali siano sufficientemente sicure.

Come funziona un attacco brute force

In un attacco online, l’aggressore invia richieste reali al sistema obiettivo (es. login web, SSH, VPN) e tenta password e/o combinazioni in diretta. Qui la velocità è limitata da fattori come latenza di rete, restrizioni sul numero di tentativi, lockout automatici.

In un attacco offline, l’attaccante ha già ottenuto un database di hash delle password (es via breach) e può provare combinazioni illimitate su propri sistemi. Questa modalità è molto più rapida e difficile da bloccare perché l’attaccante non interagisce col sistema live.

Processo tipico

L’iter di solito è il seguente:

• selezione dell’account target (nome utente o hash);
• scelta della tecnica (brute force esaustivo, dizionario, ibrido);
• utilizzo di strumenti automatici che tentano combinazioni rapidamente (esempi: John the Ripper, Hashcat) – nel caso hash offline;
• una volta trovata la combinazione corretta, l’attaccante accede e può muoversi lateralmente, esfiltrare dati, installare malware, ecc.

Segnali tipici

Ecco una serie di segnali indicanti un attacco brute force:

• una serie di tentativi di login falliti da uno stesso IP o gruppo IP;
• aumento insolito del traffico di autenticazione;
• login riusciti dopo molti tentativi falliti;
• eventi di lockout frequenti.

Perché un attacco brute force è pericoloso?

Non richiede sofisticate vulnerabilità tecniche: basta riuscire a “indovinare” la password.

L’attaccante può ottenere con un solo account accesso privilegiato: ad esempio un account amministratore può aprire la porta per attacchi più ampi.

Le password riutilizzate su più servizi amplificano il rischio: se l’attaccante ottiene la password per un servizio, può provarla su altri (“credential stuffing”).

In contesti offline, la potenza di calcolo moderna consente miliardi di tentativi al secondo, rendendo efficaci anche password moderate.

Difendersi dagli attacchi brute force

Fortunatamente esistono numerose contromisure efficaci, che vanno adottate sia sul piano tecnico sia organizzativo.

Politiche di password robuste

• Richiedere password complesse (almeno 12‑15 caratteri), con lettere maiuscole/minuscole, numeri, simboli.
• Preferire “passphrase” (frasi di parole) piuttosto che una parola singola.
• Evitare password previste o facili da indovinare (es. “password123”, “qwerty”, nome azienda).

Autenticazione a più fattori (MFA)

L’attivazione della multi‑factor authentication è una delle contromisure più efficaci: anche se l’attaccante indovina la password, senza il secondo fattore (es. codice OTP, app autenticatore, token) l’accesso resta bloccato.

Limitazioni sui tentativi e CAPTCHAs

• Bloccare l’account o richiedere intervento umano dopo un certo numero di tentativi falliti.
• Implementare CAPTCHAs o challenge‑response per distinguere bot da utenti reali.
• Rate limiting (limitazione del numero di login per IP o utente in un certo periodo).

Protezione delle credenziali salvate

• Memorizzare password con algoritmi robusti (bcrypt, Argon2) e con “salt”. ([IBM][1])
• Monitorare e mitigare la ri‑utilizzazione di password.
• Disabilitare login diretti via RDP/SSH senza tunnel sicuri o autenticazione robusta.

Monitoraggio e rilevamento

• Registrare e analizzare i log di accesso, falliti e riusciti.
• Impiegare strumenti IDS/IPS per rilevare comportamento anomalo (molti tentativi da un IP, vari account usati dallo stesso IP).
• Utilizzare sistemi di alert in tempo reale che segnalino login sospetti o cumulativi.

Difesa in‑depth (difesa a strati)

Adottare un approccio stratificato: non basarsi solo sulla password, ma combinare MFA, protezione reti, segmentazione, monitoraggio continuo. Più barriere ci sono, più l’attaccante deve superare ostacoli.

Brute force attack password checker

Per le organizzazioni e anche per gli utenti è utile impiegare strumenti che simulino attacchi di tipo brute force o attacco a dizionario (un “password checker”) per valutare la sicurezza delle proprie credenziali. Questi tool permettono di testare password deboli, controllare se sono presenti in breach pubbliche, stimare quanto tempo impiegherebbe un attaccante a comprometterle. In questo modo si possono identificare password fragili e obbligare la sostituzione prima che vengano sfruttate.

Casi evoluti e combinazioni con altre tecniche

Spesso l’attacco brute force non viene utilizzato da solo: può essere preceduto da phishing per ottenere nomi utente validi, o combinato con credential stuffing (riciclaggio di password rubate) o attacchi ibridi (dizionario + brute force). L’articolo IBM parla anche di “password spraying”, che consiste nell’usare poche password comuni su molti account per evitare blocchi rapidi.

Conclusioni

In breve, un attacco brute force è un metodo di attacco che sfrutta la quantità, la velocità e la ripetizione di tentativi fino a ottenere l’accesso non autorizzato. Comprendere brute force cos’è, sapere quanto tempo può richiedere, riconoscere le varianti come l’attacco a dizionario o l’uso di “password checker” è fondamentale per costruire una difesa efficace.

La buona notizia è che esistono contromisure chiare e consolidate, come password robuste, MFA, limitazioni sui tentativi, hashing sicuro delle credenziali, monitoraggio, e un approccio integrato di difesa. In un mondo dove le credenziali continuano ad essere uno dei principali vettori di accesso degli attaccanti, la protezione contro questo tipo di attacco non è un optional: è una componente essenziale della cyber‑security.

Credits: peshkov /Depositphotos.com