Craccare password: Come fanno e come proteggersi

Uno dei sistemi di sicurezza più adottato al giorno d’oggi è l’abbinamento nome utente/password. La stragrande maggioranza dei servizi web al giorno d’oggi utilizza questa forma di sicurezza, webmail, accesso ad aree riservate dei siti, l’home banking, ecc. Apparentemente questo sistema sembrerebbe ottimo per proteggere i nostri dati. Teoricamente se non si è a conoscenza dell’accoppiata nome/password non si può accedere al servizio.

Ma è proprio così? Quanto è sicuro questo metodo? Quali sono i punti deboli di tale sistema di sicurezza?

Ebbene con l’aumento della tecnologia in modo così esponenziale, questo metodo è diventato abbastanza poco sicuro per proteggere gli accessi e i dati di un individuo o di un azienda, quantomeno se non si adottano alcuni provvedimenti per rafforzare tale sistema. Vediamo perché.

Password guessing o brute force attack

Il nome utente quasi mai rappresenta un problema per gli utenti malintenzionati che vogliono accedere ai nostri servizi o dati. Pensaci un attimo: se la mia casella di posta elettronica è [email protected] un utente malintenzionato è già a conoscenza del mio nome utente. Non gli resta che ottenere la mia password per accedere alla mia casella di posta.

Ci sono diverse tecniche per craccare le password di servizi online, una di queste è il password guessing o brute force attack. Questi metodi consistono nel provare tutte le combinazioni alfa numeriche possibili ponendo come ipotesi un numero di caratteri prestabilito. Ad esempio è possibile provare tutte le combinazioni alfanumeriche che formino una password di 4 caratteri, facciamo un esempio:

Se la mia password è ciao un attacco a forza bruta tenterà tutte le combinazioni partendo dalla password aaaa proseguendo poi con aaab, aaac e così via. In poco tempo un attacco a forza bruta troverà che la nostra password è ciao.

Il punto critico di questa tecnica è che per una password molto complessa possono volerci settimane, mesi o addirittura anni per trovarla. Inoltre, i provider di servizi internet, dopo un prestabilito numero di tentativi possono bloccare l’utente o l’indirizzo ip che sta tentando di entrare in modo illecito, vanificando ogni sforzo di craccare la password.

Craccare password come proteggersi

Craccare password con l’attacco a dizionario

Un altra tecnica utilizzata per craccare una password è quella di creare un dizionario di possibili password basato sulle nostre informazioni personali pubbliche. Facciamo un esempio:

Se il mio nome è Karl e la mia data di nascita è il 19/01/1980, la password peggiore che io possa scegliere è Karl1980 o una combinazione di questi due elementi.

Ti spiego perché.

Un utente malintenzionato, con l’aiuto di determinati software, può arrivare a creare un dizionario di possibili password inserendo dati di pubblico dominio come il mio nome, cognome, data di nascita ed altre informazioni come il nome di mia moglie e la sua data di nascita. Un apposito software poi combinerà tali informazioni e creerà un dizionario (una banca dati) contenenti tutte le possibili password create con le informazioni che abbiamo inserito nel dizionario, maiuscole e numeri compresi, questo riduce di moltissimo il cerchio e dà maggiori possibilità di trovare la nostra password con minori tentativi rispetto a un brute force attack, risolvendo forse anche il problema del ban da parte del provider e le tempistiche improponibili.

Risulta quindi evidente che una password come Karl1980 per un attacco a forza bruta può essere difficile da indovinare ma per un attacco a dizionario può risultare estremamente facile, forse sarà addirittura una delle prime password create nel dizionario.

Questa tecnica non ha punti critici in particolare se non quello che la nostra password sia così complessa e particolare da non essere compresa nel dizionario. Oppure sia una delle ultime tra le migliaia create e l’attacco finisca bannato dal provider di servizi o dal server.

Sniffing

Un ulteriore modo per craccare password è quella di “sniffarla” dalla rete. Questa tecnica consiste nel utilizzare un computer o un server il quale esegue un attacco man in the middle. Questo attacco gli permette di frapporsi tra il nostro computer e il router della rete. In questa particolare situazione tutto il traffico generato dal nostro computer verso la rete (password comprese) passerà prima per il computer incriminato e solo poi arriverà a destinazione. In questo modo l’utente malintenzionato che manovra il computer o il server incriminato può avere accesso facile alla nostra password.

Il punto critico di questa tecnica è che la maggior parte dei servizi online al giorno d’oggi utilizzano il protocollo di sicurezza SSL. Grazie al certificato di sicurezza SSL, l’utente malintenzionato si ritroverà a catturare solo una serie di caratteri non corrispondenti alla nostra password in quanto crittografata. Mediante alcune tecniche di ssl stripping però è possibile disabilitare tale crittografia e “sniffare” la password così detta in chiaro, cioè non crittografata.

Craccare password

Alcuni consigli

Queste sono le tecniche più utilizzate per craccare una password. Nonostante ci siano diversi modi per eludere il sistema di sicurezza nome utente/password, osservando alcune semplici regole è possibile rendere molto robusta la nostra password:

  • Creiamo una password lunga almeno 8 caratteri
  • Inseriamo nella nostra password almeno 1 carattere maiuscolo 1 numero e 1 carattere jolly
  • Non inseriamo nella nostra password parole che possano ricondurre a nostre informazioni di dominio pubblico (nome, cognome ecc.)
  • Cambiamo la nostra password molto spesso, 1 volta al mese
  • Accertiamoci sempre che il sito al quale effettuiamo l’accesso abbia la scritta HTTPS che preceda l’indirizzo del sito web e il simbolo del lucchetto (presente in alcuni browser)

Con questo sistema dovremmo essere al sicuro. Se per indovinare una password molto complessa ci si impiegherebbe ad esempio 3 mesi, cambiandola ogni 30 giorni l’hacker non avrebbe il tempo di craccare la nostra password. Il protocolo SSL dovrebbe poi tamponare le altre falle costituite dal password sniffing.

 

Buon lavoro