Argomenti
Servizi
Casa > 6 modi per passare ...
IT
IT DE FR EN

6 modi in cui le password possono essere rubate

Le password non sono più una garanzia di sicurezza. Sei modi in cui le password possono essere rubate e come le soluzioni senza password possono evitarlo.

Editoriale - 21 settembre 2023
senza password
Depositphotos, hyrons

Secondo il Rapporto 2023 sulle indagini sulle violazioni dei dati Secondo Verizon, l'86% di tutte le violazioni riportate nel rapporto sono dovute a password rubate, deboli o obsolete. Anche l'errore umano è un aspetto importante del 74% di queste violazioni, ad esempio gli attacchi di social engineering.

Metodi di attacco

In generale, gli aggressori hanno a disposizione un'intera gamma di approcci per compromettere le password, come scrive ForgeRock. Alcuni di questi esistono da anni, ma l'uso dell'intelligenza artificiale generativa in particolare ha favorito lo sviluppo di nuovi metodi di attacco:

  • Ingegneria sociale e phishing: Gli approcci di social engineering e phishing funzionano inducendo gli utenti a fornire volontariamente le proprie password attraverso e-mail, siti web, messaggi di testo o telefonate fasulle. Distinguere questi messaggi falsi da quelli legittimi sta diventando sempre più difficile. Ad esempio, gli aggressori impersonano i dipendenti di un'azienda per convincerli a seguire le istruzioni contenute nei falsi messaggi senza troppe domande e a rivelare, ad esempio, la proprietà intellettuale e altri dati aziendali riservati.
  • Attacchi di forza bruta: In un attacco a forza bruta, gli aggressori testano sistematicamente tutte le possibili varianti di password fino a trovare quella giusta. Con gli strumenti e le applicazioni software oggi disponibili, compresi quelli che utilizzano l'intelligenza artificiale generativa, gli aggressori esperti possono testare miliardi di varianti e combinazioni in poco tempo: le password particolarmente deboli vengono decifrate così rapidamente.
  • Attacchi di credential stuffing: Con questo approccio, gli aggressori contano sul fatto che gli utenti riutilizzino le loro password per più account. Con i dati di accesso rubati una sola volta, gli aggressori possono quindi ottenere l'accesso a molti account diversi.
  • MFA-Prompt Bombing (bombardare l'utente con richieste): Nemmeno l'autenticazione a più fattori (MFA) è una garanzia di sicurezza perfetta contro gli attacchi. In uno dei metodi di attacco più sofisticati degli ultimi anni, anch'esso basato sul principio dell'ingegneria sociale, gli aggressori inviano una serie di false notifiche push MFA agli endpoint finché un utente distratto non ne conferma una, concedendo così l'accesso all'aggressore.
  • Malware: Esistono diversi tipi di malware progettati specificamente per rubare credenziali e altre informazioni riservate. Una di queste varianti è rappresentata dai keylogger (o "spie da tastiera"), che consentono all'aggressore di registrare i tasti premuti su un dispositivo endpoint per replicare l'inserimento di una password. Altre varianti possono, ad esempio, monitorare gli appunti e la memoria alla ricerca di informazioni riservate e inviarle all'aggressore. Un'altra possibilità è rappresentata dagli harvester di credenziali, che vengono installati direttamente sui siti web o nelle applicazioni e registrano il processo di login e i dati necessari per effettuarlo.
  • IA generativa: Gli aggressori utilizzano sempre più spesso l'intelligenza artificiale generativa per decifrare automaticamente le password e sviluppare nuove minacce informatiche in modo ancora più rapido ed efficiente. In questo modo è possibile effettuare attacchi di phishing ancora più sofisticati e mirati, che appaiono molto più convincenti che in passato. Inoltre, l'intelligenza artificiale generativa può essere utilizzata per creare i cosiddetti "deep fakes", che, ad esempio, combinano dati reali precedentemente rubati, come il codice fiscale o l'assicurazione nazionale, con informazioni personali false per creare un'identità completamente nuova e fittizia. Queste identità false possono poi essere utilizzate, ad esempio, per richiedere prestiti o carte di credito, aprire conti o richiedere prestazioni sociali o assistenza medica.

Le soluzioni senza password sono il futuro

Esistono diversi approcci per rendere più difficile il furto di password, ma l'unico modo per prevenirlo completamente è eliminare le password, secondo ForgeRock. L'autenticazione senza password non solo riduce al minimo i rischi di attacco basati sull'uso delle credenziali, ma aumenta anche la produttività dei dipendenti e la soddisfazione dei clienti semplificando l'accesso a sistemi e servizi. Il risultato: un'azienda più sicura, con utenti più soddisfatti e meno tempo e costi di assistenza.

Per ulteriori informazioni sull'autenticazione senza password.

(Visitata 511 volte, 1 visita oggi)
h2> Altri articoli sull'argomento

Studie: Unternehmen erholen sich langsam von Cyberangriffen

Zeit, Leistung und Spesen mit dem SIAXMA® Webterminal 2.0 einfach und bequem erfassen

Alle 8,5 Minuten eine Meldung zu einem Cybervorfall

NOTIZIE SULLA SICUREZZA

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
È possibile annullare l'iscrizione in qualsiasi momento!
chiudere il link