Nell’alfabeto inglese ci sono 26 lettere, quindi scegliere una password di 4 lettere, significa circa 457 mila combinazioni possibili, il che potrebbe suonare estremamente sicuro per un utente.
In più la maggioranza dei login entrano in protezione dopo 10 tentativi fatti dallo stesso IP.
Eppure tutti i siti web richiedono otto caratteri composti da simboli, numeri, lettere maiuscole e lettere minuscole. Tutto ciò mi è sempre sembrato eccessivo.
Studiando e documentandomi ho scoperto che, 457 mila combinazioni da decifrare, che sono per un umano un lavoro inimmaginabile, per un computer sono un gioco da ragazzi.
Kasper Labs ha stimato che un normale computer, non molto attrezzato, può tentare 7100 ca. tentativi di password al secondo, per capirci meglio, una password di 4 lettere maiuscole, viene individuata in un massimo di 65 secondi. Anche solo inserire lettere maiuscole, minuscole e numeri rallenterebbe l’attacco a 3,5 giorni.
Il processo può essere accelerato attraverso le tabelle delle password comunemente utilizzate, o semplicemente utilizzando un vocabolario, sapendo che le persone utilizzano una parola o una sua variante per proteggersi (ad esempio V0LAR3 invece di VOLARE), casi che un hacker mediamente esperto prevede.
Nel 2012 Ars Technica scriveva di un supercomputer in grado di indovinare 350 miliardi di password al secondo, quindi una password di 6 lettere veniva decriptata in una frazione di secondo. Essendo passati otto anni da questo articolo, possiamo facilmente immaginare che esista un hardware ancora più performante.
È vero che i siti web entrano in protezione dopo 10 tentativi, ma coloro che guadagnano soldi decriptando password, aggirano l’ostacolo. Inserire una password alla volta renderebbe il processo molto lungo e sicuramente verrebbero bloccati dai sistemi di sicurezza, al decimo tentativo.
La prassi vuole che venga acquisito direttamente dalla fonte l’elenco delle password, attraverso la collaborazione di una persona che lavora all’interno dell’azienda che vogliono attaccare.
In più, la maggioranza degli hacker viene a conoscere prima dell’attacco quale algoritmo di crittografia viene utilizzato dall’azienda in questione. Informazione ottenibile dai normali mezzi di comunicazione. Ad esempio nel 2012 Ars Technica in un suo articolo scrisse che LINKEDIN per proteggersi utilizzava un determinato algoritmo chiamato SHA-1.
Quindi una volta ottenute tutte le informazioni necessarie, utilizzando il loro generatore di password, eseguono l’attacco.
Il più grande errore che un’azienda commette è quello di non seguire i protocolli di archiviazione sicura delle proprie password. Nel caso di ADOBE CREATIVE CLOUD, fu qualcuno che fece fuoriuscire un file contenente 153 milioni di password, e non un generatore di password che garantì l’accesso ai sistemi.
Risulta quindi che gli hacker non tentano quasi mai di accedere forzando il login del sito web, ma cercano qualcuno o qualcosa che possa aggirane il blocco. “The Next Web” scrisse che fu la vulnerabilità del servizio “trova il mio Iphone” a consentire il furto delle foto private delle celebrità, senza forzare sistemi di login e senza l’aiuto di un dipendente insoddisfatto.
