Come potrei violare le tue password deboli

Pubblicato da Mike il 6 04 2010 in Sicurezza | 0 commenti

Il blogger John Pozadzides, esperto di standard Internet e CEO della società web iFusion Labs conosce “un paio di cose” sulla sicurezza delle password e sa esattamente come potrebbe violare le password deboli che utilizzi in Internet.

ATTENZIONE: questo articolo non ha l’intenzione di essere una guida su come violare le password deboli di terze persone, ma ha piuttosto l’obiettivo di aiutarti a comprendere e migliorare la sicurezza delle tue password personali.

Se tu mi invitassi a tentare di violare (indovinare) la tua password, la solita password che utilizzi per tutti i siti web per i quali hai un account, quanti tentativi pensi sarebbero necessari per indovinarla?

Queste sono le prime 10 posizioni della mia classifica. Posso ottenere molte delle informazioni presenti in questa lista abbastanza facilmente e quindi accedere alla tua email, computer o conto bancario on-line. Dopotutto, se riuscissi ad accedere ad uno, potrei probabilmente accedere anche agli altri.

1. Il nome del tuo partner, figlio/a, animale domestico, probabilmente seguito da “0″ o “1″ (perché spesso vengono aggiunti dei numeri, vero?)
2. Gli ultimi 4 numeri di previdenza sociale (della tua carta di identità o tessera sanitaria).
3. “123″ o “1234″ o “123456″.
4. “password”
5. La tua città, università, squadra del cuore.
6. Data di nascita – tua, del tuo partner o figlio/a.
7. “god” (dio).
8. “letmein” (lasciami entrare)
9. “money” (soldi)
10. “love” (amore)

Statisticamente parlando questa lista dovrebbe coprire circa il 20% dei casi. Ma non ti preoccupare, se non fossi ancora riuscito ad accedere, sarebbe probabilmente questione di qualche minuto in più.

Gli hacker hanno sviluppato molti strumenti per impadronirsi dei tuoi dati personali e la password rimane il maggiore ostacolo da superare per potervi accedere.
(Ironicamente, la miglior protezione che si ha a disposizione è solitamente quella presa meno seriamente)

Uno dei modi più utilizzati per ottenere l’accesso alle tue informazioni è attraverso l’uso di un attacco Brute Force, ossia quando un hacker utilizza un software realizzato appositamente per tentare di accedere ad un sito utilizzando le tue credenziali. Insecure.org ha una lista dei 10 migliori programmi per violazione di password qui.

Quale sarebbe quindi il processo per violare effettivamente la nostra sicurezza personale? È semplice. Prova a seguire questa logica.

• Probabilmente utilizzi la stessa password per un sacco di cose, giusto?
• Alcuni servizi che utilizzi, come quello della tua banca o la rete protetta al lavoro, hanno un buon livello di sicurezza, quindi non cercherò di attaccarli.
• Tuttavia, ci sono altri siti meno sicuri che utilizzi, come ad esempio forum o siti di e-commerce, che potrebbero non avere un livello di sicurezza adeguato. Saranno questi i siti sui quali mi concentrerò.
• Una volta ottenute alcune coppie di nome utente e password, li proverò sui siti che intendo effettivamente violare.
• Ma come è possibile sapere quale banca utilizzate o qual è il vostro nome utente nei siti che utilizzate? I cookies memorizzati del vostro browser salvano queste informazioni in formato non protetto sul vostro computer.

Ma tutto questo, quanto velocemente può essere fatto? Dipende essenzialmente da tre fattori: la complessità della tua password, la velocità del computer dell’hacker e la velocità della connessione Internet utilizzata dall’hacker.

Assumendo che l’hacker in questione abbia un computer ed una connessione Internet ragionevolmente veloci, vediamo il tempo stimato necessario per generare ogni possibile combinazione di password per una dato numero di caratteri (‘character’ in figura) . Dopo aver generato la lista è solo una questione di tempo prima che il computer provi tutte le possibilità.

Fai particolare attenzione alla differenza tra l’utilizzo di sole lettere minuscole (‘only lowercase’) e l’utilizzo di tutti i possibili caratteri (‘all characters’: maiuscoli, minuscoli, caratteri speciali – come @#$%^&*). Aggiungere anche soltanto una lettera maiuscola o un asterisco fa cambiare il tempo di elaborazione per una password di 8 caratteri da 2.4 giorni a 2.1 secoli.
Ricorda, questi sono tempi per un computer medio, e si suppone che non vengano utilizzate parole presenti in dizionari. Se Google mettesse al lavoro i propri computer, il processo sarebbe circa mille volte più veloce.

I metodi per compromettere la tua sicurezza sono moltissimi, ma il 95% di questi comincia con la violazione della tua password. Perché quindi non proteggere la tua password fin da subito e dormire sonni tranquilli?

Credimi, capisco l’esigenza di scegliere password facili da ricordare, ma se devi farlo perché non usare qualcosa che nessuno possa indovinare e non sia una parola presente in alcun dizionario?

Ecco alcuni consigli:

1. Sostituisci casualmente con numeri le lettere che ci assomigliano. La lettera ‘o’ diventa il numero ’0′ (zero), o meglio ‘@’ o ‘*’.
2. Utilizza casualmente lettere maiuscole nella password.
3. Pensa a qualcosa che ti attirava nel passato, ma non il nome di una persona! Tutti i nomi e le parole presenti in un dizionario sarebbero facilmente violate da un attacco Brute Force.
4. Forse un posto che tu amavi, o una macchina particolare, una vacanza, o un ristorante particolare?
5. È davvero necessario utilizzare diverse combinazioni di nome utente e password per ogni cosa. Ricorda, la tecnica è di violare qualsiasi cosa alla quale tu accedi per poter individuare la tua password e compromettere tutto il resto. Questo metodo non può funzionare se non utilizza la stessa password per più cose.
6. Visto che può essere complicato ricordare molte password, considera la possibilità di utilizzare un password manager per gestire le tue password: questi software memorizzano tutte le tue password e ti permette di accedervi inserendo semplicemente una password principale. I password manager hanno delle funzionalità per compilare automaticamente i form delle pagine web e alcuni di questi hanno delle versioni da utilizzare su dispositivi mobili, come cellulari e palmari. Alcuni esempi sono Lastpass, Keepass, RoboForm o 1Password specifico per Mac
7. Scelta una password, puoi verificarne la sicurezza con yetanotherpasswordmeter.com.

Un’altra cosa da tenere a mente è che alcune delle password che tu puoi ritenere meno importante, lo sono eccome! Per esempio, qualcuno può pensare che la password del proprio account email non è importante perché “non tengo informazioni importanti li”. Il tuo accont email sarà però probabilmente collegato al tuo conto bancario ed è possibile richiedere dal sito web della tua banca l’invio di informazioni alla propria email, fingendo di aver dimenticato le credenziali di accesso. L’operazione è valida per gli altri servizi ai quali ti sei registrato con quella email. Credi ancora che il tuo account email non sia importante?

I nomi utente e le password dei servizi che utilizzi sono salvate nel tuo computer, al sicuro del tuo router o firewall? Se non ti sei mai preoccupato di modificare la password di default di questi dispositivi, per qualcuno con un portatile nell’area coperta dalla tua rete wireless sarà facile accedere alla tua rete attraverso questa lista, che elenca le password per molti dispositivi sul mercato: dopo aver preso il controllo della tua rete, potranno iniziare a prendere il controllo su di te!

È un comportamento comune non preoccuparsi della sicurezza delle proprie password finché non è già troppo tardi, per impararne l’importanza con una dura lezione . Perché non fare invece qualcosa di concreto oggi per migliorare la sicurezza delle proprie password ed evitare grossi problemi in futuro?

Per favore, stai al sicuro. È una giungla li fuori.

Fonte: onemansblog.com

Tags: password > Sicurezza