Spy Blog News

Tecniche per password difficili da decifrare

Sicurezza delle password

Benché la tecnologia apra sempre nuove porte alla praticità e alla comunicazione, apre anche dei varchi per i metodi di attacco degli hacker. La maggior parte degli utenti sottovaluta la sicurezza delle password e molti ne pagano il prezzo rivelando senza volerlo le proprie informazioni personali e permettendo agli hacker di accedere ai sistemi in uso.

Gli hacker, anche noti come “cracker”, prendono di mira le password personali per ottenere l'accesso a informazioni riservate. Utilizzano speciali software di decifratura (o cracking) per individuare le password. Molti di questi programmi sono disponibili gratuitamente su Internet e possono essere eseguiti a distanza.

Chi è vulnerabile?

Il rischio riguarda sia gli utenti privati che i professionisti o le piccole aziende. Gli utenti dei PC domestici inseriscono le password quando accedono a siti web per effettuare transazioni commerciali personali, come ad esempio acquisti online e operazioni bancarie. Senza una corretta gestione delle password questi utenti costituiscono una facile preda per gli hacker.

Gli utenti remoti e quelli delle piccole reti domestiche e aziendali, non solo consentono agli hacker di intercettare le proprie password, ma anche di accedere a intere reti di informazioni aziendali private. Tutti devono assumersi la responsabilità di creare password efficaci e di custodirle con cura. Una buona password è privata (nota solo all'utente), facile da ricordare, difficile da indovinare e non annotata ovunque.

Come funzionano i programmi di decifratura delle password

I programmi di decifratura (o cracking) delle password funzionano mediante l&rsquoestrazione delle password dal registro di sistema di un server, da un disco di ripristino di emergenza oppure tramite l'intercettazione delle password inviate attraverso una rete. Quando un utente accede ai siti Internet e inserisce la sua password, questa può essere catturata da un programma sniffer di pacchetti o da un trojan horse. A differenza di una sessione di accesso, un browser invia la password ogni volta che preleva un documento protetto da un server. Questo facilita ulteriormente l'intercettazione dei dati per gli hacker. L’hacker può quindi utilizzare la password per compromettere le informazioni personali dell'utente o per ottenere accesso a tutte le risorse correlate a quella password.

Tecniche di decifratura

Quando un hacker vuole accedere a una risorsa di rete, il modo più semplice per conseguire il suo scopo è quello di scoprire la password di un utente con un account valido. Gli hacker utilizzano software specifici per tentare di scoprire le password. Il tipo di attacco più comune è definito “attacco dictionary” e utilizza un vasto elenco di parole, provandole ad una ad una, fino a quando non trova quella che viene accettata come password. Si inizia con scelte ovvie o meno incisive come ad esempio i nomi e i sostantivi, per poi passare ad elenchi interi di termini, alle combinazioni e alle parole composte.

Per ottenere le password, gli hacker utilizzano anche altri sistemi, quali l'installazione sul computer di un software che registra la sequenza dei tasti premuti sulla tastiera, o semplicemente l'osservazione di un utente mentre immette la propria password. Perciò è importante prestare attenzione a coloro che dispongono di accesso fisico ad un PC e al modo in cui si accede al proprio computer, ossia evitando che questa operazione possa essere osservata da altri utenti. Inoltre, è fondamentale mantenere al sicuro il sistema informatico installando e aggiornando il software antivirus e firewall in caso di violazione delle password.I prodotti McAfee®offrono una protezione completa.

Decifratura delle password crittografate

Anche le password crittografate sono vulnerabili alla decifratura. La crittografia può essere applicata utilizzando apposite chiavi o un algoritmo di hashing. Se una password viene crittografata con una chiave, gli hacker dovranno procurarsi la chiave giusta per poterla decodificare. Le password dei sistemi Unix e Windows® invece vengono normalmente crittografate come hash. Un hash è una stringa di derivazione matematica che rappresenta un alias del testo.

Per forzare un hash, il programma di cracking provvede a crittografare due stringhe e le confronta per vedere se sono uguali in forma crittografata. In un attacco dictionary a una password crittografata in hash, il programma seleziona ripetutamente le parole negli elenchi e confronta gli hash fino a quando non trova una corrispondenza. La difficoltà nella decifratura degli hash dipende dall'efficacia dell'algoritmo utilizzato inizialmente per crittografare la password.

Le piccole aziende sono particolarmente vulnerabili a questo tipo di attacco. In tali contesti è necessario proteggersi mettendo al sicuro i dati sui propri server dopo aver utilizzato un metodo di crittografia consolidato e limitando l'accesso fisico a tali dati per evitare che qualcuno possa installare un programma di monitoraggio della tastiera o sottrarre i file del registro di sistema. È importante installare sempre le ultime patch sui server e disporre di un’efficace protezione firewall come quella offerta daMcAfee VirusScan® Plus. Le piccole aziende devono inoltre vigilare e spiegare a dipendenti e clienti che non si devono scaricare file sospetti poiché possono contenere un worm per la registrazione dei tasti premuti.

Cosa fare per proteggersi?

Più una password è difficile da indovinare, più sarà sicura. Se ad esempio si sceglie una password composta da un solo carattere, che può essere una qualsiasi lettera maiuscola o minuscola oppure un numero, ci sono solo 62 possibilità. Un programma di decifratura la scoprirebbe molto rapidamente. Utilizzando gli stessi caratteri disponibili, una password di otto cifre presenta circa 218 mila miliardi di possibilità. Sfortunatamente molti utenti in genere fanno un favore al programma scegliendo combinazioni di facile decifratura. Alla luce di questo, gli esperti in sicurezza consigliano di seguire alcuni suggerimenti:

- Utilizzare quanti più caratteri possibile (almeno otto)
- Includere lettere maiuscole e minuscole
- Includere numeri e segni di punteggiatura
- Non utilizzare informazioni personali, come ad esempio nomi o date di compleanno
- Non utilizzare parole trovate in un dizionario

Tecniche per creare password sicure:

- Utilizzare una finta targa "personalizzata", ad esempio: “GR8way2B”
- Utilizzare più parole di poche lettere con segni di punteggiatura: “betty,boop
- Inserire la punteggiatura o un simbolo al centro della parola: “Roos%velt”
- Utilizzare una parola con contrazione insolita: “ppcrnbll”
- Utilizzare la prima lettera di ogni parola di una frase, con un numero a caso: “provate a craccarla questa password” = “pac5qp”

Le password devono essere modificate periodicamente per ridurre le probabilità che una determinata password venga compromessa col passare del tempo. Ai fini dell'efficienza e dell'affidabilità, è utile ideare delle passphrase che devono essere composte da almeno dieci caratteri e devono includere tre dei seguenti quattro attributi supplementari:
1) lettere maiuscole,
2) lettere minuscole,
3) un numero,
4) un carattere speciale.

Contrariamente a quanto si pensa, non è difficile creare una password sicura e facile da ricordare, è sufficiente usare unapassphraseanziché una password. A differenza delle password, le passphrase sono mnemoniche e pertanto molto più facili da ricordare. Supponiamo, ad esempio, di essere dei fan di Guerre stellari. In tal caso si potrebbe utilizzare la frase "Che La Forza Sia Con Te". Utilizzando semplicemente la frase esatta si soddisfano già tre requisiti:
1) lunghezza di almeno otto caratteri,
2) lettere maiuscole,
3) lettere minuscole.
Con la sostituzione di alcuni dei caratteri si possono soddisfare altri requisiti. A tal fine, sostituire la lettera “a” con “@” in Forza e la lettera “i” con “!” in Sia. Si otterrà la seguente frase: “CheLaForz@S!aConTe”. Questa è una password efficace.

Sfortunatamente anche una password complessa ed efficace alla fine può essere decifrata. Per questo motivo non bisogna mai rivelare ad altri la propria password, occorre cambiarla regolarmente, non si deve mai utilizzare due volte la stessa password e non si devono annotare le password in un luogo ovvio. Salvaguardando i propri sistemi, creando password complesse ed efficaci e adottando tecniche di difesa, è possibile tutelare al meglio sé stessi, il proprio computer e la propria identità ed essere più al sicuro.