Esperti di sicurezza ma anche criminali informatici hanno a disposizione armi notevoli, tra loro ci sono persone molto dotate. Molti sottovalutano l’importanza di una buona password, in questo articolo cerchiamo di sottolinearne l’importanza spiegando perchè è importante rispettare i consigli degli esperti di sicurezza, partiamo dall’inizio: quali sono le caratteristiche di una buona password?
- Una buona password deve essere lunga, molto lunga
- Non si dovrebbero usare parole, nomi o dati e invece si dovrebbe usare una combinazione di maiuscole, minuscole, numeri e altri caratteri
- Non si deve mai usare la stessa password in siti diversi
- Bisogna cambiare periodicamente le password
Questi consigli nascono da quello che suggeriscono gli esperti di sicurezza oltre che dal buon senso e non sono impossibili: basta usare del password manager sicuri, è ridicolo pensare di ricordare a memoria tutte le password, a meno di non avere un sistema per crearle e memorizzarle ma questa è un’altra faccenda. Dal punto di vista pratico un buon password manager va benissimo per genere password sufficientemente robuste, per salvarle e per sincronizzarle sui vari dispositivi in uso, così quando si lavora da casa o dall’ufficio oppure quando si usa il telefono, tutte le password verranno sempre sincronizzate, contemporaneamente.
Quello mostrato nella foto è un computer che contiene 25 schede grafiche Radeon in grado di generare una potenza di calcolo notevole. Computer di questo tipo sono molto specializzati e vengono usati per compiti specifici, per esempio per la generazione di Bitcoin o altre criptovalute oppure, come nel caso di cui parliamo in questo articolo, per trovare una password con un attaccato a forza bruta.
Il Brute Force Attack consiste nel provare a indovinare una password provando tutte le combinazioni possibili. Sembra un’operazione lunghissima (e nella maggior parte dei casi lo è) ma la macchina della foto è in grado di fare qualcosa come 350 miliardi di tentavi al secondo il che significa che una password lunga 8 caratteri può essere indovinata in un massimo di 5 ore e mezza.
Chiariamo subito che questo non è un apriscatole universale e che la fine del mondo non è vicina, questi numeri sono teorici e nella maggior parte dei casi non è possibile neanche avvicinarsi a risultati del genere. Se stiamo parlando della sicurezza di un sito infatti si tratterebbe di un attacco da fare via internet e non in rete locale, inoltre ogni sito degno di questo nome dopo un certo numero di tentativi di connessione falliti blocca l’ip entrante, impedendo di continuare a provare all’infinito.
Quello che ci teniamo a sottolineare è che strumenti per mettere alla prova la sicurezza informatica di un sito sono alla portata di tutti, il mostro in questione è stato fatto assemblando parti regolarmente in commercio, usando software disponibili ovunque: un sistema operativo in grado di sfruttare le schede grafiche e hashcat, un software disponibile gratuitamente fatto per recuperare una password con il metodo della forza bruta, sfruttando la particolare capacità di calcolo generata dalle schede grafiche.
Si trovano liberamente software in grado di cercare una password a partire da dizionari, date e in generale varie combinazioni di parole o numeri.
Non bisogna mai sottovalutare la sicurezza di un’applicazione, soprattutto nel caso di un sito web che per definizione è accessibile in tutto il mondo. Criminali informatici ma anche vandali e teppisti hanno a disposizione strumenti sofisticati a prezzi ragionevoli e facilmente accessibili, molti dei quali non richiedono neppure particolari competenze per funzionare.
Lascia un commento