“Vai che questo mese ho trovato la password giusta! Tanto chi lo conosce San Gwrddelw?”
Tra i vari Santi e Beati di oggi 7 gennaio, compare questo misterioso e misconosciuto Campione della Chiesa gallese, dotato di un nome piuttosto (almeno per noi) inconsueto.
Quale migliore occasione di utilizzarlo come password per i nostri account in occasione del cambio richiesto dalla nostra organizzazione di lavoro o dalla richiesta del sito web o del servizio a cui stiamo accedendo? Almeno cambiamo un po’ rispetto ai classici “Outlook2019!” o “Gennaio2022Pa$$w0rd”…
Ma sapete la novità? Per quanto sia lunga o complessa la vostra password quasi non ha influenza sulla sicurezza di un sistema!
“Non utilizzate password che avete già usato” – “Usate password molto lunghe” – “Le passphrase ci salveranno”. Tutto QUASI vero. Ma quasi inutile.
Si, perché queste norme sulle quali si sgolano i “responsabili della sicurezza IT” hanno un senso se e solo se il sistema stesso è già intrinsecamente sicuro.
Altrimenti, è ben altra la causa delle violazioni di sistemi. E indovinate qual è?
Eh si, è quell’entità che vegeta tra la sedia e la tastiera. Siamo NOI.
L’interessante studio prende in esame le più diffuse e comuni tecniche di “attacco” alle identità degli utenti su sistemi pubblici (in questo caso, lo studio è stato svolto su piattaforme basate su Azure Active Directory – quindi Outlook365, Xbox, Skype, OneDrive, ecc.), scoprendo grazie all’analisi della sicurezza, che la gran parte delle “violazioni” deriva dal fattore umano e non da fantomatici supercomputer pilotati da hacker con il cappuccio nero che combinano caratteri a caso per generare password per provare a “bucare” proprio il mio account.
Tornando con i piedi in terra, lo studio ha messo in fila le più tipiche situazioni di violazione, in una tabella che riporta il tipo di attacco, la frequenza, la difficoltà ed il meccanismo, come l’umano può “aiutare” l’attaccante e, soprattutto, quanto “conta” la password in ogni scenario.
Nei casi (più o meno frequenti, più o meno difficili da metter in atto) si tratta sempre di una chiamata a correità del detentore: conscia od inconscia, è lo stesso utente che fornisce la password all’attaccante, vuoi mediante frequente riuso su piattaforme differenti, vuoi grazie a phishing, sniffing, keylogging, furto (fisico o “virtuale”) dei post-it appiccicati al monitor o alle pareti, fino a giungere al ricatto (roba da film, ma non proprio ad impatto zero).
Un po’ di clemenza per l’ingenua dabbenaggine degli utenti, invece, quando i cattivoni mettono in atto le tecniche del cosiddetto “Password Spray” e del “Brute Force”, la prima di molto frequente utilizzo, la seconda decisamente meno (e vedremo perché).
Il “Password Spray” è un’idea geniale: partendo dai presupposti che: 1) è facilissimo reperire le liste degli utenti; 2) sono disponibili elenchi di password “tipiche”; 3) abbiamo tutto il tempo che vogliamo; 4) inventarsi una nuova password è una cosa frustrante, noiosa e faticosa, i cattivoni, anziché concentrarsi PROPRIO sul mio account e provare tutto il provabile, “spruzzano” su TUTTI gli utenti l’elenco delle password “usuali”, quelle statisticamente più diffuse.
In una sorta di “pesca a strascico”, qualcosa rimediano sempre: si tratta di circa il 16% degli attacchi, con punte di successo nell’ordine dei centomila utenti “bucati” al giorno, su numeri dell’ordine dei milioni di utenti “spruzzati”.
Sembra una barzelletta, ma non lo è: password come 12345678, Pa$$w0rd, qwerty123 o Estate2021! sono davvero diffusissime, ed è solo questione di pochissimo tempo per combinarle con l’utente “giusto”.
I vantaggi di questa tecnica sono molteplici: gli accessi vengono tentati con ritmi tali da non far alzare le antenne dei sistemi perimetrali di sicurezza, vengono effettuati da reti e indirizzi differenti, con alternanze pseudo casuali, e i tools per metterli in partica sono economici e facilmente reperibili.
Quindi, lungi da noi utilizzare le password “tipiche” e soprattutto non condividiamole tra risorse diverse: chi ci può difendere non è la “complessità” in se stessa, ma il fatto di non essere “banali”.
Veniamo al mitologico “Brute Force Attack”, quello dei film, quello in cui i supercomputer vengono messi alla frusta per “indovinare” le password della valigetta di lancio nucleare o della centrale atomica di turno, tipicamente accompagnati da buio, da musica ad effetto e da un ticker a cristalli liquidi rosso che inesorabilmente scandisce il tempo rimasto prima che arrivino i superman della NSA o della CIA.
Detto questo, lo step combinatorio non è certamente la prima risorsa che viene tentata, proprio per il suo costo rilevante in termini di tempo.
Ed ecco la tipica ricetta:
- Procurarsi un database di password rigorosamente criptato in qualche modo (se è in chiaro, non vale!);
- Provare il reverse engineering per scoprire quale sia la tecnica (o le tecniche) di generazione dell’hash delle utenze (tipicamente, avendo acquisito fisicamente un database, ciò significa che almeno un’utenza è stata compromessa, e con essa il cattivone può fare praticamente ciò che vuole, cominciando dall’effettuare un cambio password e ricostruendo l’algoritmo di cifratura e il “sale” che viene aggiunto per differenziare ogni sistema da un altro, anche se del medesimo brand);
- Acquisire un buon sistema computazionale (quelli per “minare” i bitcoin, al momento sono tra i più accessibili e performanti – parliamo di 100 miliardi di decrittazioni in algoritmo SHA256 al secondo);
- Scegliere un primo account da cercare di violare;
- Cominciare con un elenco di password “note” (sono circa 500 mila quelle disponibili…) per una prima scrematura (non si sa mai… gli utOnti ci sono sempre nel numero): questo passaggio statisticamente ha il 70% di successi;
- Fare una seconda passata con testi di canzoni, titoli di giornali, frasi “popolari”, notizie del giorno, roba raccattata da motori di ricerca: mediamente il successo di questa “passata” è del 5-7%;
- Iniziare a fare sul serio, utilizzando il calcolo combinatorio: supponendo di poter utilizzare 96 caratteri o simboli per comporre le password, i tempi per esplorare tutte le possibili permutazioni sono, per 6 caratteri, circa 8 secondi, per 7 caratteri circa 13 minuti, per 8 caratteri circa 20 ore, per 9 caratteri circa 80 giorni, e così via moltiplicando per 96 il tempo del livello precedente.
- Temperare questo metodo con classiche situazioni: sempre prima maiuscola, tipicamente seguita da 3-6 minuscole, da 2-4 numeri e infine un punto esclamativo alla fine (questa modalità porta effetti trascurabili, ma mai lasciare intentato ogni metodo);
- Ripetere per un altro account a partire dal punto 4).
La conclusione è che la vostra password, in caso di databreach, non conta nulla, a meno che non sia più lunga di 12 caratteri e soprattutto non sia MAI stata usata in precedenza né altrove. E qui vengono in aiuto i vari password manager, che danno una bella mano alla nostra limitata fantasia, ovviamente al prezzo della generazione di un codice/password poco mnemonico.
La vera difesa (con un tasso di sicurezza che sembra si aggiri intorno al 99,9%) è l’utilizzo della MFA, l’autenticazione a più fattori. Vi ricordate i cartoncini con i numeretti per accedere al vostro conto online nei primi anni 2000? Erano un buon inizio, poi trasformati nei “tamagotchi” che generavano codici alla pressione di un tastino, seguiti poi dall’equivalente su smartphone, i moderni OTP Generators attivati dall’impronta o da un PIN.
Something you know (la password), something you have (il token fisico o il telefonino per un codice monouso a tempo), something you are (l’impronta digitale): questa sembra la ricetta che funziona allo stato dell’arte, e verso la quale si stanno da tempo orientando i grandi player.
Salvo poi cascare con tutti i piedi nel più classico SMS “Hai ricevuto un pacco che si trova in giacenza da noi: per riceverlo inserisci nel link l’utenza e la password del tuo conto corrente di P0ste Ital1ane”.
Ma qui non ci possiamo fare nulla. Nemmeno votarci a San Gwrddelw.
