Attacchi offline di tipo brute-force: metodologie per la generazione di dizionari di password e comparazione dei principali strumenti

Il tirocinio è stato svolto presso Cyberloop srl azienda partner di Imola informatica spa. Presso di loro ho potuto affrontare un tema molto importante ad oggi la sicurezza informatica, in particolar modo le tecniche di penetration test e simulazione di attacco in ambito bruteforce che risultano estremamente più efficienti se accompagnate da informazioni di ricognizione personalizzate sulla base della vittima mediante opportune tecniche di data intelligence. Questo rapporto considera la generazione di password e la loro effettiva applicazione al problema del controllo dell'accesso alle risorse, dopo aver descritto la necessità e gli usi delle password. Il successo della coppia password/nome utente come autenticazione è dovuto alla loro semplicità, anche per il fatto che si possono conservare, dopo un’operazione di criptazione mediante hashing, in una semplice tabella, che nel caso di siti web si può trovare all’interno di un server remoto, mentre per autenticazione offline si trova all’interno del dispositivo locale. Questa semplicità si rispecchia anche nella possibilità di effettuare attacchi, soprattutto dovuto al punto debole del sistema: l’uomo.