Skip to Main Content
Home
Blog
Cos’è un attacco di forza bruta e come proteggerti

Cos’è un attacco di forza bruta e come proteggerti

Pubblicato il: 19 Agosto 2025 da Oliver Buxton

1 giorno fa

Una buona password protegge i nostri dati su Internet. Se non adotti misure adeguate per proteggere il tuo account, consenti ai criminali informatici di ottenere più facilmente l’accesso non autorizzato ai tuoi dati sensibili. Spesso riescono a indovinare rapidamente le password più semplici attraverso un processo basato su tentativi ed errori. Tuttavia, non sempre ricorrono a metodi manuali. Gli hacker sferrano attacchi di forza bruta sfruttando un’enorme potenza di calcolo per cercare di violare le password ricorrendo (letteralmente) alla forza bruta. Continua a leggere per una spiegazione dettagliata di come funziona un attacco di questo tipo, come individuarlo e come proteggerti. Scopri anche come Avira Free Security può permetterti di navigare in modo ancora più sicuro, oltre a proteggerti dai pericoli in agguato online.

Scarica Avira Free Security

Scarica Avira Free Security

Installa gratuitamente Avira Mobile Security

Installa gratuitamente Avira Antivirus Security

 

Cos’è esattamente un attacco di forza bruta?

Un attacco di forza bruta è un tentativo di ottenere l’accesso non autorizzato a un sistema o account protetto da password. Per violare la password, il criminale informatico prova sistematicamente tutte le possibili combinazioni di numeri, lettere e caratteri speciali. Può farlo lentamente in modo manuale oppure accelerare il processo utilizzando un software, e più potenza di calcolo ha a disposizione, più combinazioni potrà provare.

Come regola generale: più una password è complessa, lunga e casuale, più tempo ci vorrà per violarla. Password complesse e misure di sicurezza lato server riducono notevolmente il rischio che un attacco di forza bruta vada a buon fine.

Quali sono gli obiettivi degli aggressori?

I criminali informatici hanno a disposizione numerose opzioni per raggiungere i loro obiettivi. Gli attacchi di forza bruta vengono utilizzati principalmente per ottenere l’accesso non autorizzato ad account, sistemi o documenti. Non appena i criminali informatici ottengono l’accesso ai dati, solitamente mettono in atto una serie di reati.

Gli aggressori spesso perseguono uno o più dei seguenti obiettivi:

  • Accesso a dati privati sensibili (e-mail, servizi bancari, acquisti e così via)
  • Accesso a informazioni aziendali sensibili (dati dei clienti, report finanziari, piani aziendali e così via)
  • Manipolazione dei dati e dei sistemi per renderli inutilizzabili o causare caos
  • Guadagno finanziario attraverso trasferimenti di denaro non autorizzati, ricatti e vendita di dati personali
  • Integrazione dei computer in una botnet
  • Diffusione di messaggi sociali e politici (hacktivismo)

Quali tipi di attacchi di forza bruta esistono?

I criminali informatici sfruttano vari metodi per sferrare attacchi di forza bruta. Ecco i più comuni:

  • Attacco di forza bruta tradizionale: l’autore dell’attacco prova ogni combinazione possibile finché non riesce a violare la password: da quelle molto semplici (0000, abcde) a quelle molto complesse (jShdWRsJfGj). Con un apposito strumento automatizzato, il numero di combinazioni provate viene rapidamente moltiplicato milioni di volte.
  • Il semplice “attacco con dizionario”: l’aggressore accede a un elenco esistente di password utilizzate di frequente. Molte persone usano password molto semplici come 123456, admin o qwerty per pura comodità. In questo caso, basteranno pochi secondi per ottenere l’accesso all’account.
  • Attacco ibrido: si tratta di una combinazione di un tradizionale attacco di forza bruta e di un attacco con dizionario, in cui l’aggressore utilizza un elenco di parole (password) comuni e aggiunge numeri e caratteri speciali.
  • Attacco di forza bruta inverso: in questo caso, l’aggressore non cerca di scoprire la password, ma il nome utente corrispondente, partendo da una password nota e provando tutti i nomi utente fino a individuarlo.
  • Credential stuffing: questa forma di attacco informatico prevede che i criminali utilizzino credenziali di accesso rubate per accedere agli account su altri sistemi. Questo metodo è particolarmente efficace quando gli utenti utilizzano le stesse password per servizi diversi.
  • Attacco di forza bruta offline: con questo attacco, i criminali informatici hanno accesso a un file che contiene versioni crittografate degli hash delle password (un hash è una funzione matematica che converte una stringa di caratteri in una stringa di caratteri di dimensione fissa). Gli aggressori possono utilizzare computer potenti per provare innumerevoli combinazioni per violare la crittografia e rivelare le password originali e, poiché l’attacco avviene offline, l’aggressore può lavorare senza essere rilevato dalle misure di sicurezza del sistema.
  • Attacco di forza bruta online: gli aggressori provano diverse password direttamente nel campo di accesso del sito Web interessato. Spesso questi attacchi vengono bloccati sul nascere grazie a meccanismi di protezione come i CAPTCHA e la limitazione del numero di tentativi.
  • Attacco di forza bruta distribuito: simile a una botnet e a un attacco DDoS, in questo caso l’attacco viene distribuito su più dispositivi per ridurre significativamente il carico di elaborazione individuale. Suddividendo le risorse, gli hacker possono provare ancora più combinazioni in un lasso di tempo ancora più breve.

Quali sono i segnali di un attacco di forza bruta?

Sebbene un attacco di forza bruta passi spesso inosservato perché non introduce modifiche visibili nel sito Web, lascia comunque delle tracce dietro le quinte. I gestori di siti Web possono verificare nei dati di log e nelle informazioni del server se è stato effettuato un attacco di questo tipo o simile.

I segnali tipici di un attacco di forza bruta sono:

  • Aumento significativo dei tentativi di accesso: spesso si riscontrano errori di accesso a un account in rapida successione.
  • Attività di rete anomala: si verifica un aumento innaturale del traffico in entrata, in particolare verso i server di accesso e autenticazione.
  • Attività sospette da un indirizzo IP: un indirizzo IP tenta di accedere con nomi utente o password diversi.
  • Posizioni dubbie degli indirizzi IP: un indirizzo IP proveniente da una regione insolita, diversa dalle posizioni abituali degli utenti validi, accede al sito Web o ai servizi con maggiore frequenza.
  • Un numero notevole di account bloccati: molti account vengono bloccati a causa di tentativi falliti.
  • Sovraccarico insolito del server: i server e i database che gestiscono le richieste in entrata diventano sovraccarichi e rispondono più lentamente.

Come puoi proteggerti da questi attacchi?

La migliore protezione contro un attacco di forza bruta è una password complessa. Ma non è abbastanza. Esistono altri fattori che impediscono che questi attacchi vadano a buon fine:

  • Lunghezza della password: quanto più lunga è la password, tanto maggiori saranno le possibili combinazioni di caratteri che gli hacker e i loro strumenti dovranno provare.
  • Complessità della password: se non utilizzi solo lettere o numeri, ma li usi insieme, rendi la vita ancora più difficile agli aggressori. Ogni numero, lettera e carattere speciale rendono l’attacco ancora più complicato.
  • Autenticazione a più fattori (MFA): l’autenticazione a più fattori aiuta a rafforzare la protezione degli account. La maggior parte dei principali siti Web con account utente ora offrono l’autenticazione a due fattori (2FA) per aggiungere un codice a tempo limitato alla procedura di accesso.
  • Restrizioni nel sito Web: i gestori dei siti Web hanno a disposizione numerose opzioni. Alcune restrizioni nel sito Web possono rendere molto più difficile l’accesso da parte degli aggressori. Tra queste vi sono i ritardi, le query CAPTCHA e il blocco dell’account dopo un certo numero di tentativi falliti.

Se utilizzi un gestore di password, ti risparmi la seccatura di dover ricordare password complesse e uniche per ogni sito Web. Lo strumento salva tutte le tue credenziali di accesso e compila automaticamente i moduli di registrazione. In questo modo, non dovrai più ricorrere alla tua solita password semplice per comodità.

Suggerimento: dai un’occhiata al nostro articolo sulla generazione di una password complessa per imparare a scegliere una password appropriata.

Come navigare in modo ancora più sicuro con Avira Free Security

Su Internet puoi fare praticamente qualsiasi cosa e lo stesso vale per i criminali informatici. Come utente di Internet, dovresti proteggerti dagli attacchi di forza bruta e dagli accessi non autorizzati con una buona password e l’autenticazione a più fattori. Per proteggerti dal malware dannoso e dallo spionaggio attraverso spyware, vale la pena installare Avira Free Security.

Grazie alla nostra soluzione completa, non solo avrai una protezione affidabile in tempo reale contro i virus, ma potrai anche navigare sulle reti pubbliche in modo sicuro e anonimo. Grazie alla VPN integrata puoi navigare inosservato anche quando utilizzi connessioni Wi-Fi non protette (ad esempio nei ristoranti o nei bar). La tua vera identità rimane nascosta anche a terzi. Inoltre, puoi anche accedere a contenuti multimediali globali da provider come Netflix e simili, che normalmente sono bloccati per altre regioni. Proteggi il tuo computer o smartphone oggi stesso con Avira Free Security.

Scarica Avira Free Security

Scarica Avira Free Security

Installa gratuitamente Avira Mobile Security

Installa gratuitamente Avira Antivirus Security

Questo articolo è disponibile anche in: IngleseTedescoFrancese

Oliver Buxton
Oliver Buxton
Scrittore con esperienza di cybersecurity
Oliver Buxton è un dipendente di Gen e nei suoi articoli parla di sicurezza informatica, in particolare dell'impatto sociale delle minacce persistenti avanzate. Il suo lavoro su cyberterrorismo e cyberwarfare è stato pubblicato sul Times e, in precedenza, Oliver si è occupato anche di politiche di salvaguardia digitale per gli istituti di istruzione superiore. Quando non scrive, legge libri di storia, si dedica alla fotografia o pilota droni.Ha conseguito una laurea specialistica in Storia della guerra presso il King's College di Londra, specializzandosi in cyberwarfare e ruolo delle comunicazioni digitali nell'evoluzione delle insurrezioni, e ha ottenuto i certificati Introduction to Cyber Attacks e Cyber Attack Countermeasures di Coursera.

Articoli simili

Mostra tutti
Avira logo

Naviga in modo più sicuro con Avira Free Security e proteggi la tua privacy.

Download gratuito
Avira logo

Naviga in modo più sicuro con Avira Free Security e proteggi la tua privacy.

Download gratuito
Avira logo

Naviga in modo più sicuro con Avira Free Security e proteggi la tua privacy.

Installazione gratuita
Avira logo

Naviga in modo più sicuro con Avira Free Security e proteggi la tua privacy.

Installazione gratuita