Oggi: la password
Le misure impiegate oggi per limitare l’accesso a determinati sistemi da parte di malintenzionati si basano in grandissima parte su semplici parole chiave, a volte coadiuvate da un’autenticazione in due step (il primo tramite parola chiave e il secondo con un codice spedito su un dispositivo sotto il nostro controllo, lo smartphone o la mail per esempio).
L’utilizzo di un sistema del genere permette di diffondere la parola chiave a più utenti autorizzati, facendo in modo che tutti possano usare la medesima per accedere (ma nulla vieta di utilizzarne una specifica per ogni persona). Essendo il sistema attualmente più diffuso è quello che, storicamente, ha avuto più studi sulla propria vulnerabilità e quello su quale si concentrano gli attacchi di tutti i malintenzionati. Scovare una parola chiave è infatti un procedimento che può avvenire in diversi modi; tralasciando quelli relativi al farsi rivelare la password in maniera violenta possiamo citarne diversi.
Il phishing per esempio sta prendendo sempre più piede e consiste nel farsi rivelare la password fingendosi un sito o un istituzione attendibile (simulando una pagina web o reindirizzando la navigazione dell’utente su siti fraudolenti). Con password semplici, ovvero con un numero limitato di combinazioni possibili, uno dei sistemi più utilizzati è quello del cosiddetto attacco brute force, che consiste nel provare tutte le combinazioni possibili fino a trovare quella corretta.
Questo attacco, che sembra richiedere tempi lunghissimi se applicato in maniera semplice, ha delle evoluzioni che permettono di ridurre drasticamente le tempistiche. In ambito informatico si possono usare dei dizionari contenenti le password storicamente più utilizzate (no, la parola password non è proprio una buona idea come parola chiave d’accesso…) o, utilizzando algoritmi complessi, cercare di eliminare le combinazioni meno frequenti in modo da poter scovare una password in tempi più che decenti.
Esempio concreto: una password per un sito web che può contenere caratteri minuscoli, maiuscoli e numeri e una lunghezza di 4 caratteri ha 14.776.336 combinazioni possibili. Un Pc in grado di provare 1.000 password al secondo impiega circa 4 ore per provare tutte le combinazioni. Resta inteso che il tempo necessario per scovare la password può essere inferiore, visto che potrebbe essere trovata anche al primo tentativo…
Mediamente ipotizziamo che può essere trovata in 2 ore, la metà del tempo precedente. Se le cifre salgono a 6 il numero di combinazioni sale enormemente e raggiunge quota 56.800.235.584, che, con la potenza computazionale espressa in precedenza corrisponde a circa 22 mesi per testare tutte le password.
[symple_box color=”yellow” text_align=”left” width=”100%” float=”none”]
Quanto è sicura la mia password?
Ci sono diversi siti web in grado di darvi un riscontro sulla sicurezza della vostra password attuale, basandosi sugli algoritmi brute force attualmente conosciuti, sui dizionari utilizzati dagli hacker e dalle potenze di calcolo proprie dei sistemi attuali. Per esempio la password “pcpro” può essere craccata in millesimi di secondo, aggiungendo dei numeri “pcpro2014” si passa a oltre 40 minuti, mentre con una lettera maiuscola “Pcpro2014” si arriva a 3 giorni. Una password davvero sicura contiene anche simboli. Per “PcPro2014!!” sono necessari oltre 400 anni.
https://howsecureismypassword.net/
[/symple_box]
Con questi numeri le nostre password sembrano decisamente al sicuro, ma purtroppo l’enorme evoluzione tecnologica avvenuta nel mondo informatico ha portato a sistemi con una potenza enormemente superiore. Una moderna scheda grafica (quelle maggiormente malleabili per questi scopi visto il loro grande parallelismo) può effettuare un numero enorme di tentativi al secondo, anche oltre i 3 miliardi al secondo. Riportato ai valori precedenti possiamo verificare come il recupero di una password da 4 caratteri impiega anche meno di 1 secondo e una con 6 caratteri meno di 20 secondi…
Per evitare password così semplicemente ricavabili da qualche tempo i siti web, soprattutto quelli che trattano dati finanziari, hanno inserito l’obbligatorietà di password contenenti anche punteggiatura e caratteri speciali (!, %, &, e così via) e lunghezza di almeno 8 caratteri. Il numero di combinazioni in questo caso è nettamente superiore: 2,7 milioni di miliardi (più precisamente 2.724.905.250.390.625) ovvero circa 2 settimane di calcoli a piena potenza.
Questi esempi servono per capire come le password che vengono utilizzate ogni giorno sono intrinsecamente molto deboli e solo utilizzando almeno 10 o 12 caratteri è possibile avere meno preoccupazioni.
Il punto è che, con le potenze di calcolo attuali, è necessario utilizzare password molto complesse per poter essere sicuri, esigenza che si scontra nettamente con la capacità di ricordare tali complessità , magari differenti per ogni sito web, dispositivo o elemento in nostro possesso, tendenzialmente impossibile per chiunque non possegga una memoria di ferro.