Non importa se un attacco forza bruta miri al file della password nel sistema, come nel caso di iCloud, o presupponga che l’hacker possieda l’ID Apple della vittima: gli eventi passati dimostrano chiaramente quanto sia importante proteggersi dai metodi di decriptazione invasivi. Nelle vostre password di sistema personali avete di regola il controllo, quindi puntate su combinazioni che contengano molti diversi tipi di caratteri, usate lettere maiuscole, minuscole, simboli e anche numeri per le vostre password. E ricordate che naturalmente è sempre valida la regola che più caratteri ha una password, tanto più è difficile decifrarla.
La situazione è più difficile quando si creano password per servizi online o simili, perché si è vincolati alle direttive del rispettivo fornitore. Sono tipiche una lunghezza massima di otto caratteri e spesso si è limitati all’inserimento di lettere e numeri, cosa che risulta poco soddisfacente se non sono state prese ulteriori misure di sicurezza. In una situazione di questo tipo, dovreste assolutamente sapere quali misure preventive il fornitore del servizio prende contro attacchi forza bruta. Se siete voi stessi i gestori di un servizio web con un meccanismo di login, questo compito rientra tra le vostre responsabilità. Sono possibili due tipi di approccio:
- proteggere il meccanismo di autentificazione
- configurare un’autentificazione a più fattori
La protezione del meccanismo di autentificazione dovrebbe essere una componente standard di ogni maschera di login ma, come lo scandalo di iCloud ha dimostrato, non è sempre così. Con il meccanismo di protezione delle autentificazioni si appesantisce il lavoro del software forza bruta, bloccando l’inserimento di una password per un determinato intervallo di tempo, dopo che è stata digitata una password sbagliata. Inoltre è possibile aumentare ulteriormente questo intervallo ad ogni inserimento errato. Si può anche fare un passaggio ulteriore, come quello che ha fatto Apple in fin dei conti, cioè bloccare completamente l’account dopo un certo numero di tentativi di login errati.
La possibilità di un’autentificazione a due fattori viene offerta da molti fornitori spesso in maniera opzionale perché complica parecchio il processo di registrazione, visto che oltre alla password diventa necessario anche un ulteriore passaggio come la risposta a unadomanda segreta, l’inserimento di un PIN o un captcha. In questo caso si tratta di piccoli “test”, con i quali si dovrebbe constatare se chi tenta di accedere a un servizio sia un essere umano o un software che tenta il metodo forza bruta.