Password Cracking, tutto quello che c’è da sapere
Avete presente la vocina del vostro tecnico informatico che vi chiede di non scrivere le password sui post-it e di non attaccarle sullo schermo dei pc dell’ufficio?
Non si tratta di sua paranoia, piuttosto di puro e semplice buon senso. Nell’estremo tentativo di salvarvi, ecco un argomento interessante sul quale vi invitiamo a riflettere.
Oggi parliamo di password cracking signori, una categoria di attacchi che i criminal hacker impiegano per avere accesso alle credenziali web (password nello specifico) e che, spesso, fa proprio leva sulla vulnerabilità umana per riuscire a colpire l’obiettivo.
In questa breve ma incisiva premessa vi confermiamo che oggi molte delle password che si trovano sui database non sono salvate in chiaro, ma piuttosto vengono crittografate da una funzione chiamata che rende di fatto complessa la fruizione a chiunque, anche se la struttura viene violata.
Ma non sempre accade così: esiste uno zoccolo duro di attaccanti che nonostante tutte le misure di sicurezza implementate riesce nell’atto di violare i DB e captare anche in minima parte le credenziali degli utenti.
Come ci riescono?
Vediamo insieme di che cosa si tratta.
Indice argomenti
In informatica il termine password cracking è il processo di decifrazione delle password che sono state archiviate o trasmesse da un sistema informatico in forma crittografata. Nel complesso, l’attacco alle password è indirizzato a far sì che l’hacker riesca ad appropriarsi di una quantità di password o credenziali appartenenti a terzi.
Per completare un’operazione di password cracking, l’attaccante solitamente sfrutta le debolezze umane per ottenere facilmente le credenziali (solitamente archiviate in modo scorretto).
Tra le tecniche più utilizzate da un hacker per portare un attacco di password cracking e quindi ottenere l’accesso non autorizzato ai sistemi, esistono: tecnica brute force, attacco a dizionario, phishing, attacco arcobaleno oltre che molteplici tecniche combinate.
In questo articolo le approfondiremo per farvi avere un quadro completo del problema.
Esistono diverse tipologie di cracking password e sono i seguenti:
Brute Force Attack
Normalmente questa tecnica viene impiegata dagli hacker per perpetrare la violazione delle password a danno di siti web o e-commerce. L’attacco brute force si realizza senza sfruttare una connessione diretta con la vittima con una sola condizione: aver ottenuto l’hash delle password.
La logica del brute force è qualcosa di estremamente elementare: l’hacker si serve di un applicativo o di un processo automatizzato attraverso il quale vengono testate in successione tutte le combinazioni possibili di password fino a quando arriva quella giusta.
Il vero gioco ruota attorno alla potenza della macchina che conduce l’attacco: più tentativi al secondo riesce a perpetrare più facilmente troverà la combinazione corretta: questo aspetto è decisamente chiave per il raggiungimento dell’obiettivo.
Attacco a dizionario
O anche detto attacco Ricerca nel dizionario. Questa tecnica prova a decifrare la password di accesso ad un server di posta, database o siti web cercando tra una lista di password possibili detta per l’appunto dizionario. A differenza del brute force, l’attacco a dizionario prova solamente le password ritenute più probabili. Anche in questo caso si tratta di una tecnica di attacco che ricorre all’automatizzazione.
Phishing
Anche il classico phishing è uno dei metodi attraverso il quale l’hacker può tentare l’azione di password cracking. In che modo? In questo caso non si ricorre a nessun processo automatizzato, semplicemente attraverso l’invio di allegati infetti via e-mail l’utente inconsciamente installa un malware che ne ruba la password o in alternativa, all’utente viene richiesto di utilizzare la propria e-mail per accedere a una versione falsa di un sito Web: in altre parole viene reindirizzata la navigazione su un sito web truffaldino.
Rainbow Table Attack
Questa minaccia è forse da considerarsi tra le meno conosciute ma ugualmente sfruttata dagli attaccanti. In questo caso l’hacker sfrutta una tabella hash arcobaleno per decifrare le password memorizzate in un sistema di database. Dovete pensare che normalmente le password non vengono salvate come semplici righe di testo ma piuttosto vengono mascherate dal meccanismo hash. A tal proposito dobbiamo pensare che ogni volta che un utente inserisce una password, questa viene automaticamente convertita in valore hash.
Ecco che l’attacco arcobaleno interviene colpendo il sistema di crittografia sfruttando la vasta libreria di password in chiaro e i valori di hash che corrispondono a ogni password: in mezzo a tutte le password contenute nel database sicuramente l’attaccante riuscirà a trovare almeno qualche corrispondenza.
Keylogger
Ultimo ma non meno importante: l’attacco malware che spia le password. Parlando di keylogger e password cracking possiamo dire che esistono dei malware in grado di monitorare o se preferite, spiare tutte le azioni che vengono svolte dall’utente mentre si trova online. In particolare, i keylogger fanno parte della vasta categoria di virus chiamata anche spyware che spiano letteralmente tutte le parole che vengono digitate sulla tastiera di un computer. Dunque, potete ben capire che si tratta di una tecnica di attacco diretta a colpire l’utente.
Tutto ruota sempre attorno ad un punto focale: lavorare sulla sicurezza delle password.
Sappiamo che molti tra voi le considerano una vera spina nel fianco, ma badate bene: sono una risorsa fondamentale per la vostra sicurezza. Non è cosa da poco.
Eppure, tutte le volte che qualcuno o qualcosa ci dice: inventa una nuova password, alziamo gli oggi al cielo.
Parole. Simboli. Numeri. Maiuscole e minuscole. Inizia con una lettera maiuscola.
No, con un numero.
Troppo corta o troppo lunga. Non usare parole di senso compiuto prese dal dizionario: inventala tu!
Ma poi come me la ricordo?
Vi rispondiamo in modo molto semplice: se tv ricordate la maggior parte delle password per accedere ai siti web o servizi online o siete persone con un’intelligenza sovraumana o state utilizzando password deboli e ripetitive su tutte le pagine. E questo può rappresentare un problema serio per la vostra sicurezza online.
Purtroppo (ma anche per fortuna), le moderne tecnologie richiedono password strutturate e complesse per riuscire a garantirvi tutto il massimo della riservatezza. Non ci sono scuse o alibi dietro ai quali nascondersi.
Ecco, quindi, che per generare e archiviare password vi consigliamo di seguire alcuni semplici ma davvero incisivi consigli cybersecurity tra i quali:
- Le password devono essere lunghe: noi consigliamo almeno 16 caratteri, se i servizi web ve lo consentono andate anche oltre.
Vedrete che in un futuro ormai prossimo la lunghezza minima delle parole di sicurezza sarà di almeno 20 caratteri. - L’ordine dei caratteri deve essere casuale, non ripetitivo e non deve seguire schemi. Se il sito in questione ve lo permette inserite di tutto: simboli, lettere, maiuscole, minuscole, numeri. Anzi, cercate di non ripetere 2 volte lo stesso carattere.
- Investite una piccola somma e procuratevi un password manager di qualità. Noi vi consigliamo di provare Stiffpass.
Che cos’è un password manager
Molto semplicemente sono dei gestori di password, dei raccoglitori. Sono dei programmi che servono a memorizzare tutta la miriade di password che vi serviranno nella vostra vita: password per accedere a e-commerce, portali web di ogni genere, i pin del telefono e della banca. Ogni genere di informazione riservata può essere archiviata e custodita in questi portali poiché sono estremamente sicuri e vi permettono di eliminare una volta per tutte il problema delle password scritte sui foglietti volanti.
I vantaggi legati all’utilizzo di un password manager sono facilmente comprensibili:
- tutti i dati contenuti nel portale sono fruibili a voi e a voi soltanto;
- tutte le password salvate vengono crittografate con sistemi a cifratura a 256 bit: il livello considerato Top Secret
- possono generare per voi password complesse e sicure: un’ottima soluzione quando non sapete che parola inventarvi
- hanno un sistema intelligente di riempimento automatico dei moduli dei siti nei quali vi siete già registrati: sicuro al 100%
- potete, se riterrete necessario, condividere le password (ad esempio, la password del Wi-Fi di casa potete condividerla con i membri del vostro nucleo. Attenzione però, a non andare oltre.
- dovrete ricordare una e una sola password per il resto della vita: al resto ci pensa il password manager.
Ci rendiamo conto che la categoria di attacchi legati al password cracking è estremamente vasta. Ebbene, i consigli che vi daremo di seguito vi aiuteranno ad impedire agli hacker di prendere possesso dei vostri database. Solo così potrete minimizzare i rischi.
- State alla larga dai siti web poco sicuri. Se nella barra dell’indirizzo del sito web leggete http://… e non httpS:// lasciate perdere: non inserite dati sensibili e non inserite credenziali. Per quale motivo? Si tratta di siti web non sicuri, leggete il nostro approfondimento.
- Attenzione alle e-mail truffa: spesso solo il principale vettore degli attacchi password cracking
- Abilitate dove possibile l’autenticazione a due passaggi per l’acceso ad un sito web.
- Utilizzate password sicure e differenti per ciascun account
Onorato Informatica
Sicurezza informatica per aziende dal 2006
Onorato Informatica è un’azienda specializzata in sicurezza informatica da oltre 15 anni. La nostra azienda è certificata ISO 9001 e ISO 27001.
Rivolgiti al nostro SOC team per proteggerti e difenderti dagli attacchi informatici.
La nostra azienda informatica ha sede a Mantova e uffici a Parma, Milano e Los Angeles.
Onorato Informatica è specializzata nell’attività di prevenzione dalle minacce al punto da aver inserito nell’oggetto delle certificazioni ISO i servizi di Vulnerability Assessment e Penetration Testing.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
