Domini
- Domini
  Esprimi la tua individualità digitale con la nostra vasta gamma di estensioni. Dai un tocco personale alla tua presenza online scegliendo un dominio che rispecchi la tua visione unica. Scopri le estensioni disponibili.
  
  REGISTRA UN NUOVO DOMINIO
  
  Dai forma alla tua identità digitale: registra un dominio e inizia la tua avventura online.
  Registra un nuovo dominio
  
  TRASFERISCI IL TUO DOMINIO
  
  Migra con facilità: trasferisci il tuo dominio e godi di servizi affidabili e innovativi VHosting.
  Trasferisci il tuo dominio
Cloud Hosting
- Cloud Hosting
  Infrastruttura Ridondata
  Illimitate caselle email
  Illimitati sottodomini
  Illimitati database
  Backup automatico
  Certificato SSL gratuito
  Accesso SSH
  Datacenter Italiano
  Piani Hosting
  Hosting Low Cost
  Hosting Avanzato
  Hosting Professionale
  Hosting Reseller
  Hosting Multidominio
  Hosting CMS
  Hosting WordPress
  Hosting Joomla
  Hosting PrestaShop
  Hosting WooCommerce
  Hosting Magento
  
  Chatta noi noi
  
  Sconti e Promozioni
  
  Datacenter
  
  Certificazioni
Email
- E-Mail
  Alza il livello della tua comunicazione aziendale! Offriamo email professionali in cluster per la massima efficienza, un servizio SMTP dedicato per prestazioni senza compromessi e PEC per una corrispondenza sicura.
  
  SMTP Dedicato
  
  Il servizio di invio email per spedire le tue comunicazioni massive e non solo.
  da €2/Mese
  
  Email Pro in Cloud
  
  Il servizio email professionale per essere sempre raggiungibili, prestazioni e Uptime garantiti.
  da 25GB a 500GB
  
  Posta Certificata
  
  Velocità, sicurezza e conformità legale per aziende e privati per l’invio di documenti essenziali.
  Valore Legale
Cloud VPS
- Cloud VPS
  Le soluzioni VPS forniscono risorse dedicate per consentire una personalizzazione avanzata ed alte prestazioni per i tuoi siti web e le tue applicazioni.
  
  VPS Cloud Managed
  
  Il Server Cloud Virtuale in HA totalmente gestito e su misura per te!
  da €65 / Mese + IVA
  
  VPS Cloud Unmanaged
  
  Tutti i vantaggi di un Cloud VPS in HA con accesso root e backup automatici.
  da €30 / Mese + IVA
  
  Elasticsearch Container
  
  Il motore di ricerca veloce e scalabile per mettere il turbo al tuo ecommerce.
  da €12 / Mese + IVA
  
  Istanze MySQL/MariaDB
  
  Istanze database con risorse dedicate per il massimo delle performance.
  da €25 / Mese + IVA
Server Dedicati
- Server Dedicati Managed
  Esplora l’apice delle prestazioni con i nostri Server Dedicati. Potenza hardware di ultima generazione, personalizzazione avanzata e gestione flessibile per affrontare sfide tecniche con sicurezza e affidabilità.
  
  Server Dedicati Managed Business
  
  Riservato all’eccellenza: scopri i vantaggi dei Server Dedicati Managed Business per la tua crescita digitale.
  Scopri i nostri Server
  
  Server Dedicati Managed Low Cost
  
  Massima efficienza a costo contenuto: i Server Dedicati Managed Low Cost rendono l’eccellenza accessibile a tutti.
  Scopri i nostri Server
Servizi
- Servizi
  Garantisci la sicurezza e l’accesso affidabile ai tuoi dati con il nostro Object Storage avanzato. Proteggi la tua presenza online con i nostri Certificati SSL. Eleva la tua esperienza digitale con sicurezza e archiviazione in cloud.
  
  Cloud Object Storage
  
  Archiviazione remota di dati su server distribuiti geograficamente, accessibili via Internet. Scalabile, affidabile, sicura ed economica.
  Scopri il nostro Cloud Object Storage
  
  Certificati SSL
  
  Rafforza la tua presenza online e garantisci la massima sicurezza ai tuoi visitatori con i nostri Certificati SSL.
  Scopri i nostri Certificati SSL
  
  Virtual Datacenter
  
  Il tuo Virtual Datacenter: un’infrastruttura cloud scalabile e sicura, progettata con risorse dedicate.
  Scopri i nostri Virtual Datacenter

Brute Force: cos’è e come funziona questo attacco

Antonello S.
20 Giugno 2025
Sicurezza

Indice

Cos’è Brute Force e come funziona questo attacco

Nel vasto panorama delle minacce informatiche, i siti web rappresentano bersagli privilegiati per una molteplicità di attacchi. Tra le tecniche più insidiose e persistenti spicca il brute force, un metodo che punta sulla ripetizione sistematica di tentativi per violare credenziali d’accesso e chiavi di sicurezza. Nonostante la sua apparente semplicità, questo approccio resta sorprendentemente efficace, soprattutto quando sfrutta automatismi e password deboli. La sua diffusione evidenzia quanto la protezione degli accessi rappresenti ancora oggi un punto critico della sicurezza digitale.

Brute Force: significato e caratteristiche

L’attacco brute force prende il nome dalla sua natura diretta e ostinata: tentare ogni possibile combinazione fino a trovare quella corretta. A differenza di tecniche più sofisticate che si basano sull’inganno o sulla vulnerabilità del software, il brute force si affida alla forza bruta dell’elaborazione automatica.

È una strategia che punta tutto sul tempo e sulla potenza di calcolo, trasformando la pazienza in un’arma digitale. Sebbene risalga ai primi giorni della sicurezza informatica, continua a essere ampiamente utilizzata per la sua efficacia contro sistemi insufficientemente protetti.

La semplicità del metodo non deve trarre in inganno: dietro a ogni tentativo fallito si cela un’infrastruttura tecnologica in grado di eseguire milioni di operazioni al secondo. Questo tipo di attacco rappresenta ancora oggi una minaccia concreta per account personali, siti web e reti aziendali, specialmente quando si combinano abitudini rischiose con difese informatiche obsolete.

Come funziona un attacco Brute Force

Un attacco brute force si basa su un principio semplice ma potente: la ripetizione. Automatizzando milioni di tentativi, un sistema controllato dall’attaccante esplora tutte le combinazioni possibili di credenziali, codici o chiavi crittografiche, fino a individuare quella corretta.

A rendere efficace questo metodo è l’assenza di intuizione: nessuna scorciatoia, solo forza computazionale. Ogni tentativo fallito non è un errore, ma un passo in più verso l’accesso illegittimo. Spesso gli attacchi partono da informazioni parziali o presumibilmente deboli, come username comuni o password poco complesse, e proseguono senza sosta grazie a software progettati per generare combinazioni a ritmo sostenuto.

In molti casi, il brute force si svolge in background, inosservato, sfruttando anche botnet o server compromessi. Il successo dipende non solo dalla velocità dell’attacco, ma anche dalla vulnerabilità del bersaglio: più è semplice la barriera, meno tempo serve per abbatterla.

Tipi di attacco Brute Force

Non tutti gli attacchi brute force seguono lo stesso schema. Esistono varianti adattate al contesto e agli obiettivi, capaci di evolversi in base alla resistenza incontrata.

Brute force semplice

Il brute force semplice è la forma più lineare di attacco: consiste nel testare sistematicamente tutte le possibili combinazioni di caratteri fino a individuare quella corretta. Non richiede alcuna conoscenza preliminare sull’obiettivo, ma si affida esclusivamente alla potenza di calcolo per esplorare l’intero spazio delle password.

Può rivelarsi efficace soprattutto contro account protetti da password deboli o troppo corte. La sua forza risiede nella perseveranza: ogni tentativo fallito è un passo più vicino al successo. È spesso il punto di partenza nei casi in cui non vi siano limitazioni sugli accessi o sistemi di difesa attivi.

Attacco a dizionario

Una forma più raffinata di brute force è il cosiddetto attacco a dizionario. Invece di provare tutte le combinazioni, si basa su un elenco predefinito di parole e frasi comunemente usate come password. Questi “dizionari” includono termini semplici, nomi propri, date di nascita e parole modificate con numeri o simboli.

Gli hacker partono dal presupposto che molti utenti adottino password prevedibili, facili da ricordare ma anche da indovinare. Nonostante sia più veloce del brute force semplice, il successo dipende dalla qualità del dizionario e dall’ingenuità della password scelta.

Attacco ibrido

L’attacco ibrido combina le logiche del brute force semplice e dell’attacco a dizionario. Parte da una base di parole comuni, simile a un dizionario, ma le modifica sistematicamente inserendo numeri, simboli o variazioni di maiuscole. Questo approccio è particolarmente utile contro password costruite con schemi abituali, come nomi seguiti da anni di nascita (“Luca1985”) o parole alterate in modo prevedibile (“c@ne123”).

L’attacco ibrido riflette il comportamento reale degli utenti nella creazione delle credenziali, rendendolo un metodo efficace contro password apparentemente complesse ma costruite secondo logiche facilmente deducibili.

Reverse brute force

Nel reverse brute force l’ordine dell’attacco viene invertito: l’aggressore parte da una password conosciuta o comunemente usata e tenta di abbinarla a un ampio elenco di username. È una tecnica che sfrutta la diffusione di password deboli, come “admin” o “password123”, spesso abbinate a sistemi privi di limitazioni sugli accessi.

Questo metodo è frequente in attacchi su larga scala, dove gli aggressori mirano a colpire un numero elevato di utenti con sforzo minimo. La sua efficacia aumenta se associato a dati provenienti da precedenti violazioni.

Credential stuffing

Un’evoluzione pragmatica del brute force è il credential stuffing che utilizza combinazioni di username e password ottenute da precedenti violazioni di dati per tentare l’accesso su altri servizi. Il principio alla base è la riutilizzazione delle credenziali: molti utenti impiegano la stessa password per diversi account, rendendo questi attacchi particolarmente efficaci.

Gli aggressori automatizzano il processo testando migliaia di combinazioni su più piattaforme, alla ricerca di accessi validi. Il credential stuffing è uno dei metodi più diffusi nel panorama attuale, spesso usato per violare servizi bancari, email e social media.

Perché vengono eseguiti questi attacchi

Gli attacchi brute force rappresentano un mezzo versatile per ottenere vantaggi economici, strategici o ideologici. In molti casi, l’obiettivo è accedere a informazioni personali o aziendali da monetizzare, vendendo dati sensibili nel mercato nero o sfruttandoli per ulteriori attacchi mirati. Altri scenari vedono gli aggressori inserire codice malevolo all’interno di siti compromessi, trasformandoli in veicoli di malware o tracciamento.

C’è anche una componente opportunistica: l’accesso ottenuto può essere utilizzato per deviare traffico verso siti fraudolenti, manipolare contenuti o compromettere la reputazione digitale dell’obiettivo. In contesti più estesi, il brute force diventa parte integrante di attacchi coordinati, come quelli portati avanti da botnet o campagne di phishing.ì

Come difendersi dagli attacchi di forza bruta

La prevenzione parte dalla complessità delle credenziali: password lunghe, uniche e strutturate riducono drasticamente le probabilità di successo per gli attaccanti. Tuttavia, la difesa non si esaurisce nella forza della singola password.

L’autenticazione a più fattori aggiunge un ulteriore livello di protezione, rendendo inutile il possesso della sola combinazione username-password. Anche il numero limitato di tentativi di accesso rappresenta un deterrente efficace, bloccando rapidamente le attività sospette.

Sul piano infrastrutturale, l’adozione di CAPTCHA, blacklist di IP e monitoraggio in tempo reale consente di riconoscere e neutralizzare comportamenti anomali. Le aziende, inoltre, dovrebbero disattivare account non utilizzati e formare periodicamente gli utenti, affinché le misure tecniche siano supportate da comportamenti consapevoli.

Tag

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.

Cookie	Durata	Descrizione
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
psuid	8 years	This cookie is set by the provider ProveSource. This cookie is used for randomly generating unique Id for user. It helps in counting the impressions and notification display rules per user.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.

Cookie	Durata	Descrizione
_hjSession_1690540	30 minutes	No description
_hjSessionUser_1690540	1 year	No description
cookielawinfo-checkbox-altri	1 year	No description
GoogleAdServingTest	session	No description
ps5fc60e450319fc5053501647	26 days 6 hours	No description
stopbot	10 days	No description
tp_details	15 minutes	No description
vh_offer_it	session	No description
WHMCSWha6N9TIRLRk	session	No description

Brute Force: cos’è e come funziona questo attacco

Cos’è Brute Force e come funziona questo attacco

Brute Force: significato e caratteristiche

Come funziona un attacco Brute Force