Ogni giorno sento un cliente che si lamenta per il fatto di doversi inventare una password da associare ad un nuovo servizio online.
Posta elettronica, portali di e-commerce, servizi web dei più disparati.
Eccheppalle tutte ste password da ricordarsi!
Ogni giorno una password nuova…
Io uso la stessa per tutto, almeno sono sicuro di ricordarmela!
Eh no, è la scelta più sbagliata che tu possa fare.
I tipici sistemi di violazione di una password si basano, principalmente, su due tecniche:
-
Attacco di tipo brute-force (o a forza bruta);
-
Attacco di tipo a dizionario.
Vediamo con un’analisi molto semplificata la differenza tra i due attacchi.
Cos’è un attacco a dizionario?
Con un attacco a dizionario, in pratica, chi cerca di carpire la password utilizza un file contenente migliaia di password “tipiche” e cerca di accedere utilizzandole.
In rete si trovano dei file di dizionario già pronti che possono essere scaricati ed utilizzati in pochi minuti.
Utilizzare una password che non sia una parola di senso compiuto riduce la vulnera- bilità da un attacco di questo tipo.
Immagina di utilizzare la parola “albero” come password del tuo sistema. Ovviamente è più probabile che questa parola sia presente in un file dizionario, rispetto ad una password tipo “plkngf”.
Entrambe sono password di 6 caratteri, ma la probabilità di indovinarle con un attac- co a dizionario è più elevata per la parola di senso compiuto.
Tieni presente che nei file dizionario sono presenti anche quelle password che sono considerate “standard”, quelle utilizzate come password predefinite, ecc.
Ad esempio, in un dizionario per hacking delle password che si rispetti, è sempre presente la parola “password” con tutte le sue varianti:
-
password
-
Password
-
P@ssword
-
Passw0rd
-
…
Inutile dire che i dizionari sono anche multi lingua…
Cos’è un attacco a forza bruta?
Con un attacco a forza bruta, l’attaccante utilizza un sistema che costruisce le password in modo dinamico, utilizzando tutti i caratteri disponibili.
Utilizzare un set di caratteri ampio (lettere maiuscole, minuscole, numeri e caratteri speciali) rende più complesso il rilevamento della password, rispetto ad una generata usando solo lettere minuscole.
Anche la lunghezza della password contribuisce ad aumentarne la sicurezza. Una password da 4 lettere sarà facilmente identificabile.
Una password da 10 o più lettere sarà praticamente impossibile da decifrare.
L’impossibilità di decifrare una password complessa, con un attacco di tipo brute force, deriva dal tempo necessario per effettuare tutte le combinazioni.
Se una password richiedesse 5 anni consecutivi di tentativi ininterrotti, potremmo essere d’accordo sul considerarla inviolabile, no?
Vediamo quanto impiega un sistema di hacking delle password per violare una password di 7 caratteri. Nello specifico uso la password “ytrhgnb”
Come puoi vedere, il sistema prevede di violare la password entro 8 ore, avendogli dato un range di lunghezza password da 4 a 8 caratteri. E’ certo quindi che, entro un massimo di 8 ore, la password sarà violata.
In realtà, essendo la password lunga 7 caratteri il sistema impiegherà meno di 20 minuti a violarla.
Con 7 caratteri presi dall’alfabeto minuscolo, le combinazioni possibili sono circa 8 miliardi. Il sistema è in grado di testarne circa 6 milioni al secondo… Il conto è presto fatto.
Nel caso specifico la password è stata violata in meno di due minuti.
Con una password di 8 o più caratteri, non limitati alle lettere minuscole, lo stesso sistema impiegherebbe anche decine di anni.
Come puoi ricordarti le password senza fartele fregare?
Lo svantaggio di avere password lunghe e complicate è che, prima o poi, queste ti verranno richieste e tu dovrai ricordartele.
Esistono strumenti, chiamati password manager, che consentono di archiviare tutte le password dei tuoi sistemi e riproportele automaticamente in caso di bisogno.
Uno di questi è LastPass, che esiste anche in versione free e che puoi trovare all’indirizzo www.lastpass.com.
Questi strumenti si basano su una master password che consente l’accesso a tutte le altre. Ovvio che la master password dovrà essere lunga e complessa poiché, se violata, fornirà all’attaccante l’accesso a tutte le tue password.
Non volendo utilizzare strumenti di terzi, quello che posso consigliarti è di ideare un algoritmo che ti consenta di creare password, sempre diverse e complesse, ma che consenta di ricostruirle in caso di necessità.
Ad esempio, immagina di dover inventare una password per l’accesso al sito www.imieisupersegreti.it e dovertela poi ricordare.
Potresti creare una password come questa:
w@ImiETi-17
Per crearla ho utilizzato questo algoritmo:
- w = sito web
- @ = la lettera iniziale del dominio (imieisupersegreti) è una vocale, altrimenti avrei usato il # se fosse stata una consonante
- Imi = prime tre lettere del dominio con iniziale maiuscola
- ETi = ultime tre lettere del dominio con finale minuscola
- -17 = numero di caratteri che compongono il dominio
Se avessi dovuto creare una password per il sito www.trucchiperpassword.com sarebbe stata quindi w#TruORd-18.
Una password generata con un simile algoritmo risulta molto forte in caso di attacco, ma devi tenere assolutamente segreto l’algoritmo di generazione, per evitare che un malintenzionato possa ricostruire tutte le tue password applicando delle semplici regole.
N.B. Ho scritto questo articolo trattando l’argomento della sicurezza delle password in modo semplicistico, e non voglio assolutamente che venga considerato una guida tecnica.
L’idea è quella di aiutare chi non è del mestiere, a capire quali problemi si possano nascondersi dietro una password gestita male.
E tu?
Quante password devi gestire?
Quante te ne dimentichi?
Come possiamo aiutarti
Il lavoro di Flexxa, da sempre, consiste nel proteggere il tuo business nell’area informatica.
Come lo facciamo? Supportando i nostri clienti in tutto quello che serve per gestirla: dal monitoraggio continuo del funzionamento del server, fino al supporto per la creazione di una Password Policy.
Per approfondire come possiamo offrire supporto alla tua azienda, puoi prenotare un assessment gratuito nella sezione che trovi qui sotto.
Sarà un piacere ascoltare le vostre sfide e capire come affrontarle al meglio.
Alla prossima,
Andrea Monguzzi