Diamo valore alla tua privacy

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e analizzare il traffico in modo anonimo per scopi statistici interni. Cliccando “Accetta tutti”, acconsenti all'uso dei cookie.

Personalizza le preferenze di consenso

Utilizziamo i cookie per aiutarti a navigare in maniera efficiente e a svolgere determinate funzioni. Troverai informazioni dettagliate su tutti i cookie sotto ogni categoria di consensi sottostanti. I cookie categorizzatati come “Necessari” vengono memorizzati sul tuo browser in quanto essenziali per consentire le funzionalità di base del sito.... 

Sempre attivi

I cookie necessari sono fondamentali per le funzioni di base del sito Web e il sito Web non funzionerà nel modo previsto senza di essi. Questi cookie non memorizzano dati identificativi personali.

  • Cookie
    cookieyes-consent
  • Durata
    1 anno
  • descrizione

    CookieYes imposta questo cookie per ricordare le preferenze di consenso degli utenti in modo che le loro preferenze siano rispettate nelle visite successive a questo sito. Non raccoglie o memorizza alcuna informazione personale sui visitatori del sito.

  • Cookie
    _GRECAPTCHA
  • Durata
    180 giorni
  • descrizione
    Questo cookie è utilizzato dal servizio Google reCAPTCHA per proteggere il sito da spam e abusi, distinguendo tra utenti reali e bot. Esegue un'analisi del rischio raccogliendo informazioni sul comportamento di navigazione e sul dispositivo, come movimenti del mouse, sequenze di tasti e dettagli tecnici.

I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.

  • Cookie
    language
  • Durata
    1 anno
  • descrizione
    Questo cookie viene utilizzato per memorizzare la preferenza linguistica dell'utente.
  • Cookie
    post_viewed_
  • Durata
    1 ora
  • descrizione

    Questo cookie impedisce che una singola visita ad un articolo venga conteggiata più volte all'aggiornamento della pagina.

I cookie analitici vengono utilizzati per comprendere come i visitatori interagiscono con il sito Web. Questi cookie aiutano a fornire informazioni sulle metriche di numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.

  • Cookie
    _ga_*
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookies per contare i visitatori della pagina

  • Cookie
    _ga
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookie per calcolare i dati di visitatori, sessioni e campagne e tracciare l'utilizzo del sito per il report analitico del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.

I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici di prestazione chiave del sito Web che aiutano a fornire ai visitatori un'esperienza utente migliore.

Nessun cookie da visualizzare.

I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci pubblicitari personalizzati in base alle pagine visitate in precedenza e per analizzare l'efficacia della campagna pubblicitaria.

Nessun cookie da visualizzare.

Minacce

Attacco brute force: difendersi e prevenire

Scopri cos'è un attacco brute force, come funziona, come prevenirlo e cosa fare per proteggere i tuoi account e sistemi informatici.

Verifica dell'integrità del sistema

23 Maggio 2025

Indice dei contenuti

  • Che cos’è un attacco brute force
  • Come funziona un attacco brute force
  • Come prevenire un attacco brute force
  • Cosa fare dopo un attacco brute force

Una delle minacce più comuni e sottovalutate è l’attacco brute force. Si tratta di una tecnica utilizzata dai cybercriminali per ottenere l’accesso non autorizzato a sistemi digitali, sfruttando la potenza dei computer per tentare tutte le combinazioni possibili di credenziali.

In questo articolo analizzeremo in modo approfondito cosa significa brute force, come funziona, quali rischi comporta e, soprattutto, come prevenirlo e contrastarlo efficacemente. 

Che cos’è un attacco brute force

Un attacco brute force (o attacco a forza bruta) è una tecnica di intrusione informatica che punta a forzare un sistema di autenticazione provando tutte le possibili combinazioni di username e password, fino a trovare quella corretta.

È uno dei metodi più semplici, ma anche tra i più efficaci se non vengono adottate le giuste misure di sicurezza.

Il nome stesso richiama la brutalità dell’approccio: nessuna finezza, nessuna astuzia, solo un tentativo sistematico e ripetuto, sfruttando la potenza di calcolo. Spesso viene automatizzato con software specifici come Hydra, John the Ripper, Aircrack-ng o Hashcat, capaci di testare migliaia di combinazioni al secondo.

Tra i bersagli più comuni degli attacchi brute force ci sono gli account email, i pannelli di amministrazione dei siti web, i server FTP, i database, e persino gli accessi ai servizi di home banking o social network.

Come funziona un attacco brute force

Un attacco brute force segue sempre la stessa logica di fondo: provare tutte le possibili combinazioni di credenziali finché non si trova quella corretta.

Tuttavia, la metodologia e gli strumenti utilizzati possono variare in base all’obiettivo dell’attaccante, alle risorse a disposizione e alla superficie di attacco. Vediamo in dettaglio le principali tipologie e dinamiche operative di questa tecnica.

Attacco online diretto

L’attacco brute force online è la forma più basilare e rumorosa. L’attaccante utilizza un software automatico per inviare un flusso continuo di richieste di login verso un sito web, un servizio FTP, un pannello di amministrazione o qualsiasi altro sistema con autenticazione.

Ogni richiesta contiene una combinazione diversa di username e password, pescata da liste di credenziali comuni o generata in tempo reale.

Questo tipo di attacco è facilmente rilevabile: produce centinaia o migliaia di tentativi falliti in pochi minuti, sovraccaricando i log e generando un traffico anomalo proveniente dallo stesso indirizzo IP o da un set ristretto di IP.

Esempio
Un hacker decide di attaccare l’interfaccia di login di un sito WordPress. Utilizza uno script con il tool Hydra che prova migliaia di combinazioni sul file wp-login.php, sfruttando una lista di password comuni come “123456”, “password”, “qwerty” o “admin2024”. Se il sistema non implementa un limite ai tentativi, la probabilità di successo aumenta notevolmente.

Attacco offline

L’attacco brute force offline è più sofisticato e silenzioso. Qui l’attaccante non prova direttamente a loggarsi sul sistema bersaglio. Piuttosto, ottiene un database di hash delle password, magari a seguito di una precedente violazione di sicurezza, e prova a decifrare localmente gli hash senza alcun limite di tentativi o vincoli di tempo.

Utilizzando strumenti come John the Ripper o Hashcat, l’hacker può avviare un processo massivo di calcolo sul proprio hardware o su infrastrutture cloud, testando milioni di password al secondo, sfruttando anche GPU di ultima generazione.

Esempio
Un cybercriminale riesce a scaricare il file shadow di un server Linux, contenente gli hash SHA-512 delle password degli utenti. Utilizza Hashcat per confrontare questi hash con un dizionario di oltre 1 milione di password note, tentando di trovare una corrispondenza.

Attacco dizionario

Una variante del brute force è l’attacco dizionario. Qui l’approccio non è quello di provare ogni combinazione possibile, ma di testare un elenco di password già note, statisticamente più probabili perché frequentemente utilizzate dagli utenti.

Il dizionario può contenere password molto comuni, come “welcome”, “letmein”, “password123”, date di nascita, o addirittura combinazioni di nomi e cognomi se l’attaccante ha informazioni sull’obiettivo.

Esempio
Un hacker, volendo attaccare un account email aziendale, prepara un dizionario con password che includono il nome dell’azienda seguito da numeri (es. “Azienda2024!”, “Azienda123”), combinandoli con parole comuni come “work”, “office”, “login”.

Attacco combinatorio

L’attacco combinatorio è un’evoluzione del dizionario: invece di testare solo parole intere e già esistenti, l’attaccante genera combinazioni di due o più parole presenti nel dizionario, aggiungendo numeri e simboli per aumentare le probabilità di successo senza dover provare ogni possibile sequenza casuale.

Esempio
Supponiamo che l’attaccante sappia che l’utente tende a usare la data di nascita o il nome del proprio animale domestico nelle password. Costruirà un dizionario con parole come “Charlie”, “1990”, “Roma” e genererà combinazioni tipo “Charlie1990!”, “RomaCharlie!”, “1990Roma@”.

Snippet di codice dimostrativo

Per comprendere meglio il funzionamento basilare di un attacco brute force online, ecco un semplice esempio in Python (solo a scopo didattico):

import requests

url = "https://www.esempio.com/login"

username = "admin"

password_list = ["123456", "password", "admin123", "qwerty"]

for password in password_list:

    data = {"username": username, "password": password}

    response = requests.post(url, data=data)

    if "Benvenuto" in response.text:

        print(f"[+] Password trovata: {password}")

        break

    else:

        print(f"[-] Tentativo fallito con password: {password}")

Questo script automatizza l’invio di richieste POST al modulo di login di un sito, provando una serie di password prese da una lista. Ovviamente, qualsiasi utilizzo reale di questo codice senza autorizzazione rappresenterebbe un crimine informatico.

Velocità e limiti dell’attacco

La velocità con cui un attacco brute force può riuscire dipende da diversi fattori:

  • Potenza di calcolo
    CPU, GPU o cluster di server.
  • Complessità della password
    Lunghezza, uso di caratteri speciali, sequenze imprevedibili.
  • Numero massimo di tentativi consentiti
    Molti sistemi bloccano l’utente dopo 3-5 tentativi falliti.
  • Difese attive
    Sistemi di rate limiting, CAPTCHA, 2FA.

Per dare un’idea concreta, una password di 8 caratteri composta solo da lettere minuscole può essere forzata in pochi minuti con un normale PC. Se la password è lunga 12 caratteri e include simboli, numeri e lettere maiuscole/minuscole, l’attacco potrebbe richiedere anni, anche con hardware potente.

Cyber security

Come prevenire un attacco brute force

Difendersi da un attacco brute force richiede una combinazione di buone pratiche di sicurezza, configurazioni adeguate e strumenti tecnologici.

La prima misura è l’utilizzo di password complesse e uniche. Una password efficace deve essere lunga, composta da lettere maiuscole e minuscole, numeri e caratteri speciali, evitando parole di senso compiuto o sequenze ovvie.

Un altro strumento fondamentale è l’autenticazione a due fattori (2FA), che aggiunge un ulteriore livello di sicurezza, richiedendo un secondo elemento oltre alla password, come un codice temporaneo o una conferma su dispositivo mobile.

I sistemi di limitazione dei tentativi di accesso sono altrettanto importanti: bloccare temporaneamente l’account dopo un certo numero di tentativi falliti rende inefficace l’attacco. Allo stesso modo, l’uso di CAPTCHA e meccanismi anti-bot può impedire agli strumenti automatizzati di eseguire l’attacco.

Infine, è consigliabile monitorare costantemente i log di accesso e implementare strumenti di intrusion detection system (IDS) per rilevare attività sospette in tempo reale.

Cosa fare dopo un attacco brute force

Se sospetti di essere stato vittima di un attacco brute force, è fondamentale agire rapidamente per limitare i danni e ripristinare la sicurezza del sistema.

Il primo passo è l’analisi dei log per identificare eventuali accessi anomali, provenienti da indirizzi IP insoliti o da tentativi eccessivi di login. Successivamente, è necessario resettare tutte le password coinvolte, scegliendo credenziali forti e mai utilizzate prima.

Bloccare gli indirizzi IP sospetti tramite firewall o regole specifiche aiuta a impedire ulteriori tentativi. È anche utile attivare la verifica dell’integrità del sistema per controllare se sono state effettuate modifiche non autorizzate.

Infine, occorre comunicare l’incidente agli utenti coinvolti, qualora ci fosse stato un accesso illecito ai loro dati, e valutare l’adozione di ulteriori soluzioni di sicurezza come il multi-factor authentication, policy più restrittive e l’aggiornamento costante di software e sistemi.

Domande e risposte

  1. Cos’è un attacco brute force?
    Un attacco brute force è una tecnica informatica in cui un hacker tenta di indovinare le credenziali di accesso provando tutte le possibili combinazioni.
  2. Quali sono i bersagli più comuni di un attacco brute force?
    Account email, pannelli di amministrazione, server FTP, database e account social sono tra i principali obiettivi.
  3. È possibile accorgersi di un attacco brute force?
    Sì, solitamente l’attacco genera numerosi tentativi falliti di accesso in poco tempo, visibili nei log di sicurezza.
  4. Come si può prevenire un attacco brute force?
    Utilizzando password complesse, autenticazione a due fattori, limitazione dei tentativi di accesso e monitoraggio dei log.
  5. Un attacco brute force può compromettere qualsiasi sistema?
    Sì, se il sistema non ha adeguate misure di sicurezza, qualsiasi servizio con autenticazione può essere vulnerabile.
  6. Quanto tempo richiede un attacco brute force?
    Dipende dalla complessità della password e dalla potenza dell’hardware. Può variare da pochi secondi a diversi anni.
  7. Cosa succede se un attacco brute force ha successo?
    L’hacker ottiene accesso non autorizzato al sistema, con il rischio di furto di dati, danni economici e violazioni della privacy.
  8. È sufficiente una password lunga per evitare l’attacco?
    Una password lunga aiuta, ma è essenziale anche che sia complessa e accompagnata da ulteriori misure di sicurezza.
  9. Che differenza c’è tra attacco brute force e phishing?
    Il phishing punta a ingannare l’utente per farsi consegnare le credenziali, il brute force invece tenta di forzarle senza interazione.
  10. Come agire dopo un attacco brute force?
    Occorre analizzare i log, resettare le password, bloccare gli IP sospetti, ripristinare la sicurezza del sistema e informare gli utenti.
2
To top