Attenzione: craccare una password è semplice: ecco come difendersi

Un software in grado di decifrare una password di 8 caratteri in 4,2 ore avrebbe bisogno di 5,7 trilioni di anni per decifrare una password di 16 caratteri

tempo di lettura 7 minuti

Prima parte –
Meno di 50 dollari: tanto può bastare ad hacker e malintenzionati per craccare la maggior parte delle nostre password. Come? In una maniera, diciamolo pure, più semplice di quanto si pensi. Al termine di queste nostre riflessioni, auspichiamo che avrai tutti gli strumenti per capire come viene fatto e non, naturalmente, affinché ciò sia d’incitamento a provare, bensì perché ti sia di monito per comprendere l’importanza dell’utilizzo di una password davvero complessa e seriamente difficile da decifrare.

Quando si tratta di preservare la privacy e l’identità su Internet, le password sono le forme più comuni per proteggerci. Sono così comuni che molti di noi danno la loro importanza per scontata. Ogni sito web che visitiamo, ogni servizio a cui ci iscriviamo, richiede una password come forma di verifica dell’identità. Poche persone, però, sembrano prenderle sul serio: di conseguenza, molte delle password di Internet hanno solo 8 caratteri, il che le rende decifrabili in maniera drammaticamente semplice. Vediamo come.

Gli attacchi di Brute Force

Gli attacchi cosiddetti di brute force consistono nell’individuare una password, provando tutte le possibili combinazioni di lettere, caratteri speciali e numeri. Si tratta dell’ultima spiaggia perché può richiedere un elevato numero di tentativi e un lungo tempo d’esecuzione. La “forzatura bruta”, in parole povere, è un metodo per decifrare le password in cui l’attaccante tenta di provare quante più combinazioni possibili di password possibili, sulla base di una serie di parametri.

Ad esempio, un parametro potrebbe essere impostato da un sito Web in cui la password deve essere compresa tra 8 e 16 caratteri. Nel modello più semplice, il cracker di password può iniziare provando 00000000. Quindi può provare 00000001, 00000010, 00000100 e così via fino a quando non ha provato ogni possibile combinazione di caratteri consentiti.

La lunghezza favorevole è 8: _ _ _ _ _ _ _ _. Ogni campo può essere:

  1. Un alfabeto minuscolo (26 possibilità)
  2. Un alfabeto maiuscolo (26 possibilità)
  3. Un numero (10 possibilità da 0 a 9)
  4. Segni di punteggiatura o altri caratteri speciali (33 possibilità)

Questa grande risposta su Stack Overflow fa saltare tutta la matematica dietro il calcolo del numero finale, che rappresenta le possibilità totali del cracking di una password di 8 caratteri: 3.025.989.069.143.040 o circa 3 quadrilioni, e ognuno è un tentativo separato. La forzatura bruta di una password di 8 caratteri nel modo più semplice, cioè, può richiedere 3 quadrilioni di tentativi.

Come funziona la brute force

Evidentemente non è una operazione “manuale” anche perché, supponendo che un sito Web impieghi 2 secondi per caricare una pagina, devi mettere in conto 2 secondi di tempo di attesa per ottenere una pagina che ti dica “password errata” ad ogni tentativo. In altre parole, ci vorrebbero fino a 9 quadrilioni di secondi, o 287,9 milioni di anni, supponendo che il sito Web non blocchi il nome utente dopo un certo numero di tentativi sospetti.

In realtà, ciò che accade è che il tuo nome utente e la tua password risultano esposti a causa di una violazione dei dati (cosa che accade più spesso di quanto pensi). Tale esposizione può avvenire in due modi:

  1. In uno scenario molto insicuro, la tua password non è crittografata e viene archiviata in chiaro. Nessun lettore avrebbe bisogno di far altro che copiare e incollare la password. Ad esempio, se la password è password1, verrà visualizzata come password1per chiunque visualizzi il contenuto ottenuto dalla violazione dei dati. La brute force non è necessaria in questo scenario perché il sito Web ha già consegnato le tue informazioni su un piatto d’argento.
  2. In uno scenario più sicuro, la password è crittografata e non viene archiviata in chiaro. Ad esempio, se la password è password1, verrebbe visualizzata come: 0b14d501a594442a01c6859541bcb3e8164d183d32937b851835442f69d5c94e
    se il sito Web ha crittografato la password. In altre parole, grazie alla crittografia, anche in caso di furto informatico, gli hacker si ritroverebbero in mano, in luogo di una vera password “in chiaro”, un lungo elenco di caratteri casuali praticamente inutilizzabile.

Dopo aver ottenuto le informazioni a seguito della violazione dei dati, l’hacker può avviare l’hacking. Per un esempio molto semplice di come potrebbe apparire il contenuto di una violazione dei dati, dai un’occhiata a questo dove la password è sotto forma di un codice crittografato, separato dall’email con i due punti.
Da qui, l’hacker ha bisogno di due cose:

  1. Un programma che proverà automaticamente diverse combinazioni di caratteri e confronterà i risultati con le cifre dell’elenco per capire le password;
  2. Un hardware che sarà tanto veloce quanto economico per consentire all’hacker di decifrare le password in breve tempo senza spendere così tanto denaro da renderlo economicamente illogico persino per tentare di decifrare la password.

La prima parte è piuttosto semplice. Esistono strumenti open source gratuiti che fanno esattamente quanto richiesto, come Hashcat o John the Ripper. La seconda parte, ottenendo l’hardware, può sembrare più complicata ma, con i servizi cloud, tali parti possono essere acquistate in modo rapido ed economico. Per esempio, su Amazon AWS, puoi ottenere una macchina molto potente per 3,06 dollari l’ora.
Ma c’è di più. Utilizzando AWS Spot Pricing, puoi ridurre il prezzo della macchina dall’originale 3,06 dollari a 1,04 dollari, il che riduce il costo per ottenere la stessa password da 122,40 dollari fino a 41,60 dollari.

Per meno di 50 dollari, insomma, qualcuno può decifrare la password media utilizzando strumenti open source che facilitano il processo di decrittazione.

(1 – Continua)

Lascia un commento

Articolo precedente

Se il virus attecchisce in Africa è pandemia

Prossimo articolo

Perché l’Italia affonda (4): Kultura rossa

Gli ultimi articoli di Blog