Cos'è Brute Force?
Brute Force è il vecchio metodo del provare tutto per violare una password, una chiave o una passphrase. Uno script indovina una combinazione dopo l'altra finché qualcosa non si apre. Pensalo come provare ogni chiave su un enorme mazzo di chiavi, solo che il mazzo è fatto di matematica.
Brute Force non è sempre una condanna istantanea. I login online spesso bloccano tentativi ripetuti, ma file offline come i backup del wallet possono essere attaccati a velocità molto alta se la passphrase è debole.
Come funziona Brute Force
Ecco il piano, non serve magia da film:
- Obiettivo: L'attaccante sceglie un login, un file wallet cifrato o un messaggio da decifrare.
- Tentativi: Un software genera ipotesi di password, a volte in modo intelligente con liste di parole e modifiche, a volte completamente casuali.
- Riscontro: Ogni tentativo ha esito positivo o negativo, e lo script si adatta o continua senza fermarsi.
- Cambio di strategia: Se il sito applica limiti di frequenza, possono passare a una copia offline come un hash rubato o un keystore.
- Risultato: Una passphrase robusta rallenta Brute Force, una breve o riutilizzata viene compromessa.
Sì, può davvero essere così semplice.
Attiva la Autenticazione Multi Fattore (MFA) per ogni exchange, app wallet e email collegata alle crypto. Un secondo fattore blocca la maggior parte dei tentativi rapidi di Brute Force.
Caratteristiche chiave di Brute Force
Segnali rapidi che indicano l'uso di questo metodo:
- Esaustivo: Testa molte ipotesi senza preoccuparsi del significato.
- Tempo: La difesa aumenta con la lunghezza e la casualità della passphrase, non per sensazione.
- Velocità: La velocità online è limitata, quella offline può essere molto elevata con le GPU.
- Segnali: Picchi di login falliti o richieste di captcha suggeriscono un attacco di Brute Force su un sito.
Come si calcola Brute Force?
Si può stimare il lavoro dal numero totale delle possibili combinazioni e da quanti tentativi al secondo un sistema può effettuare.
Combinazioni totali per un dato insieme di caratteri e lunghezza:
Combinations = S^L dove S è la dimensione dell'insieme e L è la lunghezza. Il numero medio di tentativi necessari per avere successo è circa la metà delle combinazioni.
Stima del tempo:
Time = Combinations / GuessesPerSecond Esempio: lettere e cifre sono circa 62 caratteri. Una lunghezza di 10 dà 62^10 combinazioni, che è enorme, quindi anche hardware veloce richiede più tempo di quanto una persona normalmente dedichi.
Varianti
Diverse varianti, stesso obiettivo, compromessi diversi:
- Dizionario: Prova prima parole comuni e password trapelate per velocizzare.
- Credenziali: Riproduce coppie email e password da violazioni per verificare cosa funziona ancora.
- Inverso: Sceglie una password comune e la prova su molti nomi utente.
- Maschera: Restringe i tentativi a un modello, per esempio inizia con una maiuscola e termina con cifre.
- Ibrido: Combina parole da dizionari con regole, per esempio aggiungendo anni o simboli.
Una seed di dodici parole con vera casualità non è un bersaglio semplice per Brute Force. La matematica la rende molto oltre le possibilità dell'hardware comune.
Esempio
Un bot bombarda una pagina di login con migliaia di tentativi, viene limitato dal sito, poi passa a testare offline un file wallet rubato usando rig GPU.
Curiosità
Brute Force è più vecchio della crypto, ma le GPU lo hanno reso un progetto da weekend per password deboli. La tua scheda da gioco può indovinare più velocemente di una stanza piena di vecchi server.
Conclusione
Passphrase lunga e unica, impostazioni che resistono a Brute Force e un secondo fattore: così dormi più tranquillo.