Quanto sono sicure le tue password?

Con le tecnologie di oggi una buona password non basta più: vediamo di cosa hai bisogno.

Torniamo a parlare di password, questa volta in una prospettiva più ampia che ci aiuterà a capire quanto sono sicure le nostre credenziali di accesso. Con questo post vogliamo sottolineare che al giorno d’oggi è molto facile indovinare le password, per cui è diventato indispensabile dotarsi di strumenti di sicurezza efficaci che proteggano i nostri dati di accesso.

Ma cominciamo dall’inizio… Come si indovina una password?

Tecniche di password cracking

Creare combinazioni di caratteri è un’operazione relativamente semplice e i personal computer di oggi sono sempre più potenti. Per questo motivo, da un po’ di anni a questa parte agli utenti viene richiesto di creare password:

• Lunghe, ovvero superiori a otto caratteri
• Che contengano una combinazione di maiuscole e minuscole
• Che contengano segni di punteggiatura e caratteri speciali
• Che contengano sia numeri che lettere

In questo modo, l’utente sfrutta al massimo le possibilità offerte dalle password di caratteri inseribili tramite tastiera.

Ovviamente la complessità è un concetto relativo, per cui anche una password così creata diventa semplice se invece di un PC utilizziamo un supercomputer (per non parlare di computer quantistici come quello creato da Google, che prima o poi sono destinati a rivoluzionare il concetto stesso di cybersicurezza).

La maggior parte degli hacker non ha a disposizione un supercomputer, ma ha moltissimi altri strumenti che rendono la violazione delle password un’operazione relativamente semplice. Parliamo principalmente di violazione degli account online, cloud computing e ingegneria sociale, che ora esamineremo più da vicino.

Violazione degli account

La prima parte di questa equazione è rappresentata dai data breach. Provare ad accedere a un sistema provando tutte le password esistenti è un metodo troppo lento. Per questo, i cracker procedono al contrario, acquistando grandi elenchi di credenziali di accesso rubate a siti web di grandi dimensioni, ad esempio social network come Taringa.

Tuttavia, le password degli utenti non vengono salvate come testo semplice, ma criptate tramite un algoritmo di hash. Per questo motivo, il cracker può acquistare illegalmente un enorme elenco di password sottoposte a hashing.

Da un hash è impossibile risalire alla password (lo spieghiamo in questo articolo sugli attacchi di forza bruta), ma è possibile confrontarlo con il database di credenziali fino a trovare corrispondenze (anche parziali) e da lì ricostruire la password originale. Per fare questo, esistono software molto semplici, reperibili anche su Internet, ma affinché il processo non duri centinaia di anni sono necessari molta potenza di calcolo e ridurre le possibilità.

Cloud computing

Per quanto riguarda il primo fattore, la potenza di calcolo, gli hacker fanno come le aziende: se non possono comprare una rete di supercomputer, possono noleggiare i sistemi di Amazon AWS, IBM, Azure o altre reti di cloud computing. In questo modo, e pagando tariffe relativamente basse, hanno accesso a strumenti informatici potentissimi, cha cambiano completamente le regole del gioco.

Alcuni di questi servizi enterprise sono pensati per lavorare con grandi volumi di dati, ovvero centinaia di milioni di record, e questo è proprio il caso di chi ha a disposizione un database di credenziali sottoposte a hashing da confrontare con gli hash prodotti dal software.

Nonostante tutto, anche disponendo della potenza di calcolo delle risorse cloud di AWS o altre compagnie simili, questa metodologia di attacco non è abbastanza efficiente da sola. Bisogna ridurre il limite di possibilità, o meglio concentrarsi sugli account più facili da violare, ed è qui che sfortunatamente entra in gioco il fattore umano.

Social engineering e password deboli

Eccoci arrivati all’ultimo elemento della nostra equazione: ridurre le possibilità concentrandosi sugli account meno protetti. Come abbiamo visto in questo articolo sulle password peggiori di tutti i tempi, nel mondo ci sono ancora tantissime persone che utilizzano credenziali facili da indovinare, e questo non riguarda solo profili di social network di utenti inesperti, ma anche gli account dei dipendenti delle aziende più grandi del mondo (articolo in inglese).

A questo dato possiamo poi aggiungere un’altra debolezza umana: riutilizzare la stessa password per molti account o, nella migliore delle ipotesi, diverse varianti della stessa password principale.

E se poi l’account da bucare appartenesse a una persona ben determinata, è possibile utilizzare tecniche di spear phishing e ingegneria sociale per risalire a informazioni personali, su cui normalmente si basa la maggior parte delle password. Con tutti questi dati è possibile costruire una sorta di dizionario che guiderà il processo di password cracking, limitando le opzioni da scandagliare.

Soluzione: accesso sicuro e password manager

Considerata la quantità e la qualità degli strumenti informatici a disposizione dei black hat hacker di oggi e la semplicità delle credenziali utilizzate da moltissime persone per i propri account online, è necessario prendere sul serio questo argomento e iniziare subito a usare tutti gli strumenti disponibili:

1. Innanzitutto, quando è possibile, useremo l’autenticazione a due fattori e strumenti di autenticazione più sicuri rispetto alle password, ad esempio l’accesso tramite impronta digitale o scanner facciale.
2. Per quanto riguarda le password, utilizzeremo un password manager sicuro, ovvero un programma che salva tutte le nostre credenziali e le inserisce al posto nostro quando ne abbiamo bisogno. In questo modo non dovremo ricordare tutte le password e potremo utilizzare combinazioni alfanumeriche e di caratteri molto complicate.
3. Infine, per gli account più sensibili, controlleremo i nostri indirizzi email sul sito Have I been pwned, per sapere se e quando le nostre credenziali hanno fatto parte di un data breach. In caso positivo e recente, e solo in questa circostanza, aggiorneremo la password corrispondente per evitare problemi in futuro con l’account compromesso.

La sicurezza delle password è un concetto in divenire: una password efficace oggi, domani potrebbe essere troppo debole. Per questo ti invitiamo a seguirci e continuare a informarti sulle ultime notizie di cybersicurezza e sul mondo digitale.

Buona navigazione e buona gestione delle password!