Login
Prova gratuita

Come prevenire gli attacchi Brute Force sul vostro sito web

captcha.eu

Gli attacchi di forza bruta sono una delle minacce più persistenti alla sicurezza dei siti web. Nel 2026, essi combinano elenchi di credenziali rubate, botnet distribuite e indovinelli ottimizzati dall'intelligenza artificiale, rendendo insufficienti le difese a singolo livello. Questa guida spiega come funziona ogni livello di protezione, dove non funziona da solo e come combinarli in modo efficace.

Tempo di lettura stimato: 12 minuti

Prova CAPTCHA.eu gratuitamente - senza carta di credito
Visualizza tutte le integrazioni

In sintesi

La minaccia nel 2026

Gli strumenti automatizzati testano milioni di combinazioni al secondo su intervalli IP distribuiti; il semplice blocco dell'IP non è più sufficiente.

La misura singola più forte

MFA. I dati di Microsoft dimostrano che blocca il 99,9% delle compromissioni di account, anche quando le password sono già note.

Perché il CAPTCHA è adatto a questo scopo

Il Proof-of-work CAPTCHA agisce come un limitatore di velocità di calcolo integrato che aumenta il costo di ogni tentativo di accesso per i bot prima che venga tentata una password.

Il giusto approccio

Difesa in profondità: nessun singolo livello ferma tutto. MFA, limitazione della velocità e CAPTCHA insieme colmano le lacune che ciascuno di essi lascia aperte individualmente.

Cosa tratta questa guida

La minaccia nel 2026

La forza bruta non è un attacco nuovo. Ciò che è cambiato è la velocità, la scala e la sofisticazione. Gli strumenti moderni non vengono più eseguiti da un'unica macchina con un indirizzo IP evidente. Al contrario, gli aggressori distribuiscono i tentativi su migliaia di indirizzi IP simultaneamente, ruotano attraverso reti proxy e utilizzano l'intelligenza artificiale per dare la priorità alle password più probabili, attingendo a miliardi di credenziali trapelate in precedenti violazioni di dati.

Secondo il Verizon Data Breach Investigations Report, le credenziali rubate sono coinvolte nella maggior parte delle violazioni di applicazioni web. La forza bruta e il riempimento delle credenziali sono i metodi principali utilizzati per ottenerle. Per i gestori di siti web, questo significa che il vecchio modello mentale (“i miei utenti hanno password forti, quindi siamo a posto”) non regge più. Gli attacchi mirano alle password deboli, certo. Ma mirano anche al riutilizzo delle password tra i vari servizi e possono sostenere milioni di tentativi all'ora senza far scattare semplici limiti di velocità se il traffico è distribuito.

La portata di questo fenomeno non è teorica. Nel maggio 2024, un attore di minacce noto come Menelik ha registrato account di partner su un portale clienti Dell e ha trascorso tre settimane a forzare gli identificatori dei tag di servizio a circa 5.000 richieste al minuto. Dell non ha rilevato l'attività fino a quando l'aggressore non ha inviato un'e-mail per rivelare la vulnerabilità. A quel punto, i record di circa 49 milioni di clienti erano stati raschiati. L'attacco non ha richiesto un exploit sofisticato, ma solo un volume sostenuto e automatizzato contro un endpoint senza un'adeguata limitazione della velocità o un rilevamento dei bot.

Le implicazioni pratiche: la protezione di una pagina di login, di un modulo di registrazione, di un flusso di reimpostazione della password o di un endpoint API contro la forza bruta richiede più livelli che lavorano insieme. Le sezioni che seguono spiegano ogni livello, compresi i punti in cui funziona, quelli in cui si rompe e quelli che colmano le lacune.

Tipi di attacchi a forza bruta: cosa sono e cosa li blocca

Non tutti gli attacchi di forza bruta funzionano allo stesso modo. La comprensione della variante determina la priorità della difesa.

TIPO DI ATTACCO
COME FUNZIONA
DIFESA PRIMARIA
Forza bruta semplice
Tenta ogni possibile combinazione di caratteri in sequenza
Password lunghe e complesse; blocco dell'account
Attacco del dizionario
Utilizza elenchi di parole comuni e password conosciute.
Una forte politica di password; bloccare le password più comuni
Credential stuffing
Riproduce coppie nome utente/password da violazioni di dati su altri siti
MFA; CAPTCHA; screening delle password violate
Spruzzatura di password
Prova alcune password comuni a molti account per evitare il blocco.
Limitazione della velocità per nome utente; rilevamento delle anomalie
Attacco ibrido
Combina parole del dizionario con numeri e simboli
Passphrase; gestori di password; MFA
Attacco al tavolo arcobaleno
Utilizza tabelle hash precompilate per invertire gli hash delle password
Hashing salato; algoritmi di hash moderni (bcrypt, Argon2)

Il credential stuffing e il password spraying meritano un'attenzione particolare perché sono le varianti che sconfiggono più facilmente le misure progettate solo per la semplice forza bruta. Il Credential stuffing non ha bisogno di indovinare le password: le possiede già. Lo spraying di password evita il rilevamento rimanendo al di sotto delle soglie di blocco dell'account. Entrambi richiedono difese che vanno oltre la sola politica delle password.

Per un approfondimento specifico sul credential stuffing, consultate la nostra guida su cos'è il credential stuffing e come funziona.

Sei livelli di prevenzione che lavorano insieme

  • Autenticazione a più fattori

    L'MFA è la difesa più efficace contro gli attacchi di forza bruta e le prove sono inequivocabili. L'analisi di Microsoft sugli incidenti di compromissione degli account ha rilevato che l'MFA ne avrebbe evitato il 99,9%. Il motivo è strutturale: anche quando un attaccante indovina o ottiene correttamente una password, l'MFA richiede un secondo fattore (un codice TOTP, una chiave hardware o una notifica push) a cui l'attaccante non ha accesso. Per i gestori di siti web, la priorità è l'MFA su ogni account di amministratore e ad alto privilegio, seguito dall'MFA su ogni account con accesso a dati sensibili o flussi finanziari. L'applicazione dell'MFA a tutti gli utenti finali dipende dal pubblico e dal profilo di rischio, ma il supporto dei moderni browser per i passkeys e le app di autenticazione lo rende possibile per la maggior parte dei casi d'uso.

  • Limitazione della velocità e ritardi progressivi

    Il rate limiting limita il numero di tentativi di accesso che un client può effettuare in una determinata finestra temporale. È una prima linea di difesa semplice ed efficace contro gli attacchi non sofisticati. Dopo un numero definito di tentativi falliti dallo stesso indirizzo IP, il server introduce un ritardo, restituisce un blocco temporaneo o richiede un'ulteriore fase di verifica. Il limite del semplice rate limiting basato su IP è che i moderni attacchi distribuiti instradano le richieste attraverso migliaia di indirizzi IP diversi. Ogni singolo IP rimane sotto la soglia, mentre il volume totale degli attacchi rimane enorme. Un approccio più robusto combina la limitazione del tasso a livello di IP con soglie per account, tracciando i tentativi falliti per nome utente indipendentemente dall'IP di origine, e abbinando a ciò il rilevamento delle anomalie che segnala modelli di traffico insoliti a livello globale, non solo per fonte.

  • Politiche di blocco dell'account

    Il blocco dell'account blocca temporaneamente o permanentemente un account dopo un determinato numero di tentativi di accesso falliti. L'OWASP Authentication Cheat Sheet raccomanda una soglia di cinque-dieci tentativi falliti prima di applicare un blocco a tempo. I blocchi rigidi (in cui un account è bloccato finché un amministratore non lo sblocca manualmente) forniscono la protezione più forte, ma creano un rischio di abuso di denial-of-service. Un aggressore può deliberatamente attivare il blocco di molti account, impedendo agli utenti legittimi di accedere. I ritardi progressivi sono generalmente preferibili: ogni tentativo fallito aumenta il tempo di attesa prima che il tentativo successivo sia consentito, frustrando gli strumenti automatici senza bloccare in modo permanente gli utenti reali.

  • Politiche di password forti

    La lunghezza della password conta più della complessità. Una passphrase di 16 caratteri composta da parole casuali è più difficile da decifrare rispetto a una stringa di 8 caratteri di lettere, numeri e simboli. I gestori di password rendono pratiche password lunghe e uniche per tutti gli account. Per i gestori di siti web, la politica di maggior impatto è quella di richiedere password di almeno 12 caratteri e di sottoporre le nuove password al vaglio dei database noti per le violazioni, scartando qualsiasi password che sia apparsa in precedenti fughe di notizie. I criteri relativi alle password affrontano bene i semplici attacchi brute force e a dizionario. Non fornisce quasi nessuna protezione contro il credential stuffing, quando l'aggressore possiede già la password corretta. Per questo motivo, la politica delle password da sola non è sufficiente come difesa contro la forza bruta.

  • CAPTCHA come barriera strutturale per i bot

    Il CAPTCHA funziona in modo diverso dagli altri livelli di questo elenco. Invece di limitare ciò che un attaccante può fare dopo un tentativo fallito, aumenta il costo di ogni tentativo prima che raggiunga la logica di autenticazione. Questa distinzione è importante. La distinzione chiave è tra i CAPTCHA visivi tradizionali e i moderni CAPTCHA proof-of-work. Il CAPTCHA tradizionale (griglie di immagini, testo distorto) è sempre più infrangibile. Gli strumenti basati sull'intelligenza artificiale risolvono automaticamente i problemi legati alle immagini e le aziende che risolvono i CAPTCHA possono elaborare milioni di sfide al giorno per pochi dollari. Contro un attaccante determinato e dotato di risorse, un CAPTCHA visivo offre meno protezione di quanto sembri. Il CAPTCHA di prova funziona in modo diverso. Invece di chiedere all'utente di identificare gli oggetti in un'immagine, richiede al browser di eseguire un piccolo calcolo crittografico prima di poter inviare il modulo. Per un utente reale, questo avviene in modo invisibile in background prima che finisca di compilare il modulo. Per un bot che tenta migliaia di accessi al minuto, ogni singolo tentativo richiede ora la risoluzione di un puzzle computazionale, aumentando il costo dell'attacco indipendentemente dal numero di IP o dispositivi utilizzati dall'aggressore. L'Authentication Cheat Sheet di OWASP osserva che il CAPTCHA dovrebbe essere visto come un controllo di difesa in profondità che rende gli attacchi a forza bruta “più lunghi e costosi”. Con la proof-of-work, in particolare, il costo è integrato nell'architettura e non dipende dalla difficoltà del puzzle.

Perché il CAPTCHA è strutturalmente diverso dal limitatore di velocità

La limitazione della velocità dice: “puoi provare solo X volte al minuto”. CAPTCHA dice: “ogni tentativo richiede un lavoro di calcolo che non può essere automatizzato a basso costo”. Un aggressore con limitazione della frequenza si limita a distribuire le richieste tra gli IP. Un attaccante che affronta un CAPTCHA proof-of-work deve risolvere un puzzle crittografico per ogni singolo tentativo, su ogni IP, ogni dispositivo e ogni bot della rete. Il costo cresce linearmente con il volume, rendendo gli attacchi su larga scala economicamente impraticabili piuttosto che semplicemente scomodi.

CAPTCHA.eu utilizza il proof-of-work: invisibile, privo di cookie, ospitato nell'UE

CAPTCHA.eu protegge i flussi di login, registrazione e reimpostazione della password con una verifica invisibile di tipo proof-of-work. Nessun puzzle di immagini. Nessun cookie. Tutti i dati vengono elaborati in Austria secondo le leggi dell'UE. Certificato WACA Silver dal TÜV Austria rispetto alle WCAG 2.2 AA.

Iniziare la prova gratuita
Perché gli operatori europei passano da reCAPTCHA

  • Monitoraggio e rilevamento delle anomalie

    Anche con tutti questi accorgimenti, è il monitoraggio a dirvi quando qualcosa è cambiato. Un attacco di forza bruta in corso lascia tracce evidenti: un picco improvviso di tentativi di accesso falliti, una distribuzione insolita degli IP di origine o un volume elevato di richieste a un singolo endpoint in un momento anomalo.

I seguenti schemi nei registri giustificano un'indagine:

  • Più tentativi di accesso falliti contro un singolo account da IP diversi (password spraying)
  • Tentativi falliti in grande quantità da un singolo IP o intervallo di IP (semplice forza bruta)
  • Improvvisi picchi di richieste di autenticazione al di fuori delle normali ore di traffico
  • Aumento del carico sugli endpoint di login, reimpostazione della password o registrazione senza un corrispondente aumento degli accessi riusciti.
  • Tentativi ripetuti con nomi utente o formati e-mail leggermente diversi a fronte della stessa password

I moderni servizi CAPTCHA forniscono un cruscotto di visibilità sui volumi dei tentativi. Un picco insolito di verifiche CAPTCHA su un endpoint di accesso è un segnale precoce e affidabile che indica che è in corso un tentativo di brute force.

Se un attacco è già in corso: passi immediati

Il rilevamento è una cosa. La risposta è un'altra. Se si identifica un attacco brute force in corso, la sequenza seguente limita i danni.

  • Blocca temporaneamente gli IP o gli intervalli di IP più attivi.

    Si tratta di una misura a breve termine, non di una soluzione completa. Gli attacchi distribuiti lo aggireranno, ma riduce il carico immediato e fa guadagnare tempo.

  • Abilitare il CAPTCHA sull'endpoint di destinazione, se non è già attivo.

    Anche se viene distribuito a metà attacco, aumenta il costo per i bot che continuano a provarci.

  • Inasprire immediatamente le soglie di limitazione dei tassi.

    Ridurre la finestra di tentativo consentita e aumentare la durata del ritardo per la durata dell'attacco.

  • Forzare la reimpostazione della password su tutti gli account che mostrano attività anomale.

    Se alcuni account specifici hanno registrato un numero insolitamente elevato di tentativi falliti, è necessario richiedere una nuova autenticazione prima di consentire il successivo accesso con successo.

  • Verificare la presenza di accessi riusciti che precedono o coincidono con il traffico di attacco.

    Un attaccante che ha già avuto successo può rimanere all'interno mentre l'attacco più ampio continua come distrazione.

  • Conservare i registri.

    I log di accesso grezzi della finestra di attacco sono essenziali per l'analisi successiva all'incidente e, se pertinente, per la rendicontazione normativa ai sensi del GDPR o del NIS2.

Non siete ancora protetti? Aggiungi CAPTCHA.eu al tuo flusso di login oggi stesso

CAPTCHA.eu si integra in pochi minuti in WordPress, TYPO3, Keycloak, Magento e stack personalizzati. Ospitato in Austria, senza cookie, senza enigmi per gli utenti reali.

Iniziare la prova gratuita
Vedi tutte le integrazioni

Perché uno strato non è mai abbastanza

Ogni difesa di questo elenco affronta un vettore di attacco specifico. Nessuna di esse affronta tutti i vettori.

L'MFA impedisce a un aggressore che possiede già la password corretta di accedere all'account, ma non impedisce al traffico di forza bruta di colpire il vostro server. Migliaia di tentativi falliti di blocco MFA continuano a generare carico, a consumare risorse e a riempire i registri.

Il rate limiting controlla il volume del traffico, ma i moderni attacchi distribuiti aggirano le soglie a livello di IP senza rallentare. Funziona bene contro gli attacchi non sofisticati, ma non contro gli avversari dotati di risorse.

Il CAPTCHA aumenta il costo di ogni tentativo dal punto di vista computazionale, ma senza l'MFA, un CAPTCHA risolto con successo consente comunque di procedere con il login. CAPTCHA filtra i bot, MFA blocca le credenziali compromesse.

Il blocco dell'account impedisce di indovinare illimitatamente, ma crea un rischio di denial-of-service e non protegge dal credential stuffing, in cui l'attaccante ha bisogno di un solo tentativo per account.

La conclusione della guida di OWASP e dell'architettura pratica di qualsiasi sistema di login ben protetto è che questi livelli sono progettati per completarsi a vicenda. Un endpoint di login che combina CAPTCHA, MFA, limitazione della velocità e monitoraggio delle anomalie è veramente difficile da forzare su scala. Ognuno di questi elementi da solo lascia delle lacune che un attaccante determinato può sfruttare.

Domande frequenti

Qual è il modo più efficace per prevenire gli attacchi brute force?

Nessuna misura è in grado di bloccare tutte le varianti. L'approccio più efficace combina l'MFA (che blocca la compromissione dell'account anche quando le password sono note), il CAPTCHA (che aumenta il costo computazionale di ogni tentativo automatico) e il rate limiting (che limita il volume dei tentativi). L'analisi di Microsoft ha rilevato che l'MFA da solo avrebbe fermato il 99,9% delle compromissioni di account studiate, rendendolo la misura singola più prioritaria se è possibile implementarne solo una.

Il CAPTCHA blocca gli attacchi brute force?

Sì, ma il tipo di CAPTCHA è importante. I CAPTCHA visivi tradizionali (griglie di immagini, testo distorto) sono sempre più spesso risolti da strumenti automatici e servizi di risoluzione CAPTCHA. Il CAPTCHA Proof-of-work è più efficace perché richiede un calcolo crittografico per ogni tentativo, aumentando il costo indipendentemente dalla capacità di riconoscimento delle immagini dell'attaccante. Nessuno dei due tipi sostituisce l'MFA, ma entrambi aumentano significativamente lo sforzo e il costo di una campagna di forza bruta su larga scala.

Qual è la differenza tra forza bruta e credential stuffing?

Gli attacchi di forza bruta indovinano le password senza conoscenze preliminari, provando combinazioni finché non ne funziona una. Il Credential stuffing utilizza coppie nome utente/password conosciute da precedenti violazioni dei dati e le testa su altri servizi, sfruttando il riutilizzo delle password. Il Credential stuffing è più veloce e più mirato. I criteri per le password forti proteggono bene dalla forza bruta, ma offrono poca protezione contro il credential stuffing, poiché l'aggressore possiede già la password corretta. MFA e CAPTCHA risolvono entrambi i problemi.

La limitazione della velocità è sufficiente a prevenire gli attacchi brute force?

Per gli attacchi semplici e da una sola fonte, la limitazione della velocità è efficace. Contro la moderna forza bruta distribuita, in cui le richieste provengono contemporaneamente da migliaia di indirizzi IP diversi, la limitazione della velocità basata sull'IP è insufficiente da sola. Le soglie per account e il rilevamento delle anomalie lo completano. In combinazione con CAPTCHA e MFA, il rate limiting diventa parte di una solida difesa a strati.

Come faccio a sapere se il mio sito web è sottoposto a un attacco di forza bruta?

I segnali più chiari sono: un picco improvviso di tentativi di accesso falliti nei log del server, un volume elevato di richieste agli endpoint di autenticazione, tentativi multipli contro account diversi da IP diversi (password spraying) o un dashboard CAPTCHA che mostra un picco di verifica insolito. Molti attacchi di forza bruta non vengono rilevati per ore o giorni nei siti senza un monitoraggio attivo. L'impostazione di avvisi sui tassi di fallimento dell'autenticazione è uno dei più semplici miglioramenti di monitoraggio di alto valore che un gestore di siti possa fare.

Il CAPTCHA funziona senza cookie o banner per il consenso dell'utente?

I servizi CAPTCHA tradizionali di solito impostano i cookie, il che fa scattare i requisiti di consenso ePrivacy. CAPTCHA.eu opera senza cookie per architettura, quindi non c'è alcun problema di conformità legato ai cookie da risolvere e non è richiesto l'aggiornamento del banner di consenso per il livello CAPTCHA. Tutti i dati di verifica vengono elaborati in Austria, in conformità alle leggi dell'UE. Per gli operatori di siti web europei che desiderano la protezione dei bot senza aumentare il carico di lavoro per la gestione del consenso, l'architettura senza cookie rappresenta un vantaggio pratico significativo.

A quali flussi devo dare priorità per la protezione brute force?

I moduli di accesso sono l'obiettivo principale, ma gli aggressori prendono di mira anche i flussi di reimpostazione della password (che possono bypassare un account bloccato), i moduli di registrazione (per la creazione di account fasulli in scala) e gli endpoint di autenticazione API. Qualsiasi endpoint che accetta credenziali o concede token di accesso è un potenziale obiettivo di forza bruta. Date priorità alla protezione in quest'ordine: login, reset della password, endpoint API, registrazione.

Lettura correlata

messaggi recenti

it_ITItalian
en_USEnglish de_DEGerman fr_FRFrench es_ESSpanish nl_NLDutch it_ITItalian