Nel campo della cybersecurity, una delle tecniche più conosciute e utilizzate per compromettere le password degli utenti è il Rainbow Table Attack.
Questo metodo di attacco ha guadagnato popolarità negli ultimi anni, in particolare grazie alla sua efficacia e alla facilità con cui può essere messo in pratica.
In questo articolo, esploreremo in dettaglio il funzionamento del Rainbow Table Attack, analizzeremo come si svolge un rainbow table attack online e discuteremo le contromisure per proteggerci.
- Conservazione delle password ed hashing
- Che cosa è una tabella arcobaleno
- Come funziona il Rainbow table attack
- Punti di forza e debolezze di questa strategia
- Contromisure difensive
- Conclusioni
Definizione di Rainbow Table attack
Un rainbow table attack è un attacco condotto tramite Internet, sfruttando le risorse online per aumentare l’efficacia e la velocità dell’attacco. Gli attaccanti possono utilizzare servizi web e database online che offrono l’accesso a vaste collezioni di rainbow table.
Queste risorse possono essere utilizzate per effettuare attacchi più rapidi e su larga scala, rendendo questo tipo di minaccia particolarmente pericolosa.
Conservazione delle password ed hashing
L’hashing è un processo che trasforma una qualsiasi stringa di lunghezza arbitraria in una stringa di lunghezza fissa, tipica dell’algoritmo di hashing impiegato.
Ora, il numero di possibili password è infinito, mentre il numero di possibili valori di hash non lo è. Questo significa che due diverse stringhe di input possono corrispondere ad un identico output.
Per renderci conto di questo basta pensare ai codici fiscali. L’ultima lettera è un carattere di controllo che viene determinato a partire dagli altri caratteri: basta un solo carattere diverso per ottenere una lettera diversa. Eppure essendoci solo 26 possibilità per il carattere di controllo è facile che due persone con dati personali totalmente diversi condividano l’ultima lettera del codice fiscale.
Questo è il fenomeno della collisione e, se per i codici fiscali non rappresenta un rischio, per la conservazione delle password, o dei numeri delle carte di credito lo è.
Che cos’è una tabella arcobaleno o rainbow table
Quando richiedete l’accesso ad un vostro account, il sistema informatico legge il vostro nome utente e la password.
Dopodiché, converte le vostre credenziali nel suo valore di hash e la confronta con il valore di hash conservato nel database.
Se i due coincidono allora potrete autenticarvi, altrimenti la richiesta è rigettata. Il contrario, ovvero volgere in chiaro la stringa memorizzata nel archivio e poi confrontarla con quella inserita non è possibile, perché le funzioni di hash sono scelte appositamente in modo tale che, noto l’output, non sia possibile ricostruire l’input.
Una tabella arcobaleno è un dizionario precompilato di password associate ai relativi valori di hash. Si tratta dell’unico modo possibile per decodificare una stringa criptata e fu inventata nel 2004 da Philippe Oechslin.
Come funziona il Rainbow table attack
Un Rainbow Table Attack si basa sull’uso di una rainbow table per trovare rapidamente la corrispondenza tra un hash criptato e la password in chiaro.
Ecco come funziona il processo in dettaglio:
- L’attaccante ottiene l’hash della password, ad esempio attraverso un data breach o l’intercettazione del traffico di rete
- Consulta la rainbow table per trovare una corrispondenza tra l’hash e una password in chiaro
- Se trova un’effettiva corrispondenza, ha ora la password in chiaro dell’utente e può accedere al suo account
Punti di forza e debolezze di questa strategia
Gli attacchi rainbow table presentano numerosi vantaggi per gli attaccanti:
- Sono veloci (se si è già in possesso della tabella) rispetto agli altri tipi di attacchi che prendono di mira le password
- Sono semplici da eseguire, poiché tecnicamente si basano su una ricerca in una tabella
- Non è richiesta la conoscenza della password esatta, basta una qualsiasi stringa che produca lo stesso hash per ottenere l’autenticazione
- Permettono di raggiungere milioni di dati sensibili, raggirando una sola persona o un solo sistema informatico
Ciononostante hanno anche numerose limitazioni, tra cui:
- Necessitano di uno spazio di archiviazione consistente
- Il calcolo delle tabelle, seppur fatto una volta sola, richiede una grande potenza di calcolo
- Non sono efficaci contro le password di più di otto caratteri, né contro quelle che usano combinazioni molto complesse
Contromisure difensive
Per proteggere le proprie password da un rainbow table password attack, è possibile adottare diverse misure di sicurezza:
- Creare password lunghe e complesse, utilizzando una combinazione di lettere maiuscole e minuscole, numeri e simboli. Le password complesse riducono la probabilità che l’attaccante trovi una corrispondenza nella rainbow table.
- Salting delle password: il salting è una tecnica che prevede l’aggiunta di un valore casuale, chiamato “salt”, alla password prima di calcolare l’hash. Questo rende molto più difficile per l’attaccante trovare una corrispondenza nella rainbow table, poiché il salt aumenta notevolmente il numero di possibili hash.
- Utilizzare funzioni di hash aggiornate e più resistenti agli attacchi, come bcrypt, scrypt o Argon2. Queste funzioni sono progettate per essere più lente e richiedere più risorse, rendendo il processo di ricerca della corrispondenza nella rainbow table più dispendioso in termini di tempo e potenza di calcolo.
- Aggiornamento delle rainbow table, poiché le rainbow table diventano meno efficaci con l’aumentare della complessità delle password e l’adozione di funzioni di hash più sicure, è importante aggiornare regolarmente le rainbow table utilizzate per proteggere le password. Questo riduce la probabilità che un attaccante possa sfruttarle per un attacco.
- Implementare un sistema di monitoraggio e allerta per rilevare e segnalare tentativi di accesso sospetti, in tal modo è possibile agire rapidamente per bloccare un attacco in corso
Conclusioni
Sebbene gli attacchi basati su tabelle arcobaleno non siano più “di tendenza” in fatto di attacchi hacker, non possono certo essere considerati una minaccia estinta.
Lo dimostrano il caso di Dubsmash, in cui furono rubati 162 milioni di hash, e l’attacco a MyHeritage, che causò il furto di 92 milioni di valori hash, entrambi avvenuti nel 2018.
Questo rischio è in larga misura dovuto al fatto che gli utenti si affidano senza riserve a dei codici di sicurezza non abbastanza robusti. Ma anche al fatto che spesso le aziende non proteggono adeguatamente gli archivi contenenti le password.
Potendo scegliere, infatti, il furto di elenchi di hash comporta la violazione di moltissimi account in tempi decisamente ridotti rispetto agli altri tipi di attacco alle password.
- Autore articolo
- Ultimi articoli
Laureata in Fisica, sta proseguendo gli studi in “Fisica dell’atmosfera, climatologia e meteorologia” presso l’università di Roma Tor Vergata. Nel frattempo, unisce la sua passione per la scrittura a quella per la cybersecurity per promuovere la consapevolezza digitale attraverso il blog di Onorato Informatica.
