Attacco A Dizionario

ATTACCO A DIZIONARIO

Nella sicurezza informatica, un attacco a dizionario è una tecnica di attacco alla sicurezza di un sistema o sottosistema informatico mirata a "rompere" un codice cifrato o un meccanismo di autenticazione provando a decifrare il codice o a determinare la passphrase cercando tra un gran numero di possibilità. In pratica si tenta di accedere a dati protetti da password tramite una serie continuativa e sistematica di tentativi di inserimento della password, solitamente effettuati in modo automatizzato, basandosi su uno o più dizionari.

In contrasto con un metodo forza bruta, dove tutte le possibili password sono ricercate in maniera esaustiva, un attacco a dizionario prova solamente quelle ritenute più probabili, tipicamente contenute in una lista (detta dizionario). Generalmente, questi attacchi, detti per questo "a dizionario", hanno successo perché la maggior parte delle persone ha la tendenza a scegliere password semplici da ricordare (e quindi semplici da scoprire, ad esempio il proprio nome, quello dei propri figli, date di nascita) e tendenzialmente sceglie parole prese dalla propria lingua nativa.

Gli attacchi a dizionario possono essere applicati in due situazioni principali:
-nella crittanalisi
n-ella sicurezza informatica

Utilizzo in crittanalisi
Si può sferrare un attacco a dizionario per cercare di determinare la chiave di decriptazione per un dato brano di testo cifrato.

Utilizzo in sicurezza informatica
Nella sicurezza informatica, può essere sferrato un attacco a dizionario per cercare di aggirare un meccanismo di autenticazione per l'accesso ad un sistema informatico, che richiede una password. L'efficacia di un attacco a dizionario può essere notevolmente ridotta limitando il numero massimo di tentativi di autenticazione che possono essere effettuati ogni minuto, e bloccando anche i tentativi che superano una certa soglia di esiti negativi. Generalmente, 3 tentativi sono considerati sufficienti per permettere ad un utente legittimo di correggere i propri errori di battitura e accedere correttamente al sistema. Superata questa soglia, per sicurezza è meglio assumere che l'utente sia da considerarsi malintenzionato.

Efficacia ed Efficienza dell'attacco
Poiché di solito gli utenti scelgono password facilmente indovinabili, questo attacco ha successo in media 4 volte su 10 quando si utilizza una lista di parole ragionevolmente grande. I dizionari per la maggior parte delle lingue sono facilmente accessibili su Internet, quindi l'uso di parole straniere è praticamente inutile per contrastare attacchi di dizionario.

È possibile raggiungere un compromesso spazio-tempo con la precomputazione e la memorizzazione di un elenco di parole di dizionario criptate, ordinate in base al 'valore' criptato. Questo richiede disponibilità elevata di risorse per memorizzare questi elenchi e di tempo per preparare gli elenchi, ma rende gli attacchi quasi istantanei e si rivela una strategia particolarmente efficace quando si tenta di violare un gran numero di password tutte in una volta. Il Salting è una tecnica che forza il dizionario criptato a essere ricalcolato per ogni password desiderata, rendendo potenzialmente la precomputazione impossibile se si utilizza un salt grande sufficientemente.

Confronto con il metodo forza bruta
Il metodo di attacco basato su dizionario viene utilizzato spesso nei tentativi di cracking delle password in quanto gli utenti, soprattutto se poco esperti di informatica, tendono a prediligere parole chiave semplici da ricordare a mente, e quindi appartenenti al linguaggio comune, piuttosto che sequenze alfanumeriche casuali. Il vantaggio di usare un dizionario rispetto a un normale attacco col metodo a forza bruta (tentativo di scoprire una password provando tutte le combinazioni alfanumeriche possibili) è dato dal fatto che il test delle password, anche se eseguito in modo automatizzato (tramite software appositi) e da calcolatori molto potenti, è comunque un processo che richiede una enorme quantità di tempo, che aumenta in maniera esponenziale all'aumentare della lunghezza della password stessa.

Bibliografia
Attacco a Dizionario : https://it.wikipedia.org/wiki/Attacco_a_dizionario
Salvo diversa indicazione, il contenuto di questa pagina è sotto licenza Creative Commons Attribution-ShareAlike 3.0 License