Sistemista.IT

Operiamo su: Agrigento Alessandria Ancona Aosta Arezzo Ascoli Piceno Asti Avellino Bari Barletta Belluno Benevento Bergamo Biella Bologna Bolzano Brescia Brindisi Cagliari Caltanissetta Campobasso Caserta Catania Catanzaro Chieti Como Cosenza Cremona Crotone Cuneo Enna Fermo Ferrara Firenze Foggia Genova Gorizia Imperia Isernia L'Aquila La Spezia Lecce Lecco Livorno Lodi Lucca Macerata Mantova Massa-Carrara Messina Milano Modena Monza e Brianza Napoli Novara Oristano Palermo Parma Pavia Perugia Pesaro e Urbino Pescara Piacenza Pisa Pistoia Potenza Ravenna Reggio Calabria Reggio Emilia Rieti Rimini Roma Salerno Savona Siena Siracusa Sondrio Taranto Teramo Terni Torino Trapani Trento Treviso Trieste Udine Varese Venezia Verbano-Cusio-Ossola Vercelli Verona Vibo Valentia Viterbo Forlì-Cesena Frosinone Grosseto Latina Matera Nuoro Padova Pordenone Prato Ragusa Rovigo Sud Sardegna Vicenza

Craccare password: Come fanno e come proteggersi

  • Hacking
lucchetto a combinazione alfa numerica - craccare password
Picture of Sistemista IT
Sistemista IT
Indice
0
(0)

Uno dei sistemi di sicurezza più adottato al giorno d’oggi è l’abbinamento nome utente/password. La stragrande maggioranza dei servizi web al giorno d’oggi utilizza questa forma di sicurezza, webmail, accesso ad aree riservate dei siti, l’home banking, ecc. Apparentemente questo sistema sembrerebbe ottimo per proteggere i nostri dati. Teoricamente se non si è a conoscenza dell’accoppiata nome/password non si può accedere al servizio. Ma è proprio così? Quanto è sicuro questo metodo? Quali sono i punti deboli di questo sistema di sicurezza? E’ davvero possibile craccare una password?

Ebbene con l’aumento della tecnologia in modo così esponenziale, questo metodo è diventato abbastanza poco sicuro per proteggere gli accessi e i dati di un individuo o di un azienda, quantomeno se non si adottano alcuni provvedimenti per rafforzare tale sistema. Vediamo perché.

PS: Se ti piacerà il mio tutorial collegati regolarmente alla sezione Hacking del blog o iscriviti alla mia newsletter e rimani aggiornato sulle ultime novità.

Come fanno a scoprire una password?

Password guessing e brute force attack

Il nome utente quasi mai rappresenta un problema per gli utenti malintenzionati che vogliono accedere ai nostri servizi o dati. Pensaci un attimo: se la mia casella di posta elettronica è [email protected] un utente malintenzionato è già a conoscenza del mio nome utente. Non gli resta che ottenere la mia password per accedere alla mia casella di posta.

Ci sono diverse tecniche per craccare una password di servizi online, una di queste è il password guessing o brute force attack. Questi metodi consistono nel provare tutte le combinazioni alfa numeriche possibili ponendo come ipotesi un numero di caratteri prestabilito. Ad esempio è possibile scoprire una password provando tutte le combinazioni alfanumeriche che formino una password di 4 caratteri, facciamo un esempio:

Se la mia password è “ciao” un attacco a forza bruta tenterà tutte le combinazioni partendo dalla password aaaa proseguendo poi con aaab, aaac e così via. In poco tempo un attacco a forza bruta sarà in grado di scoprire la password “ciao”.

Il punto critico di questa tecnica è che per rubare una password molto complessa possono volerci settimane, mesi o addirittura anni. Inoltre, i provider di servizi internet, dopo un prestabilito numero di tentativi possono bloccare l’utente o l’indirizzo ip che sta tentando di entrare in modo illecito, vanificando ogni sforzo di craccare la password.

craccare password proteggersi

Craccare password con l’attacco a dizionario

Un altra tecnica utilizzata per craccare una password è quella di creare un dizionario di possibili password basato sulle nostre informazioni personali pubbliche. Facciamo un esempio:

Se il mio nome è Karl e la mia data di nascita è il 19/01/1980, la password peggiore che io possa scegliere è Karl1980 o una combinazione di questi due elementi. Ti spiego perché.

Un utente malintenzionato, con l’aiuto di determinati software, può arrivare a creare un dizionario di possibili password inserendo dati di pubblico dominio come il mio nome, cognome, data di nascita ed altre informazioni come il nome di mia moglie e la sua data di nascita. Un apposito software poi combinerà tali informazioni e creerà un dizionario (una banca dati) contenenti tutte le possibili password create con le informazioni che abbiamo inserito nel dizionario, maiuscole e numeri compresi, questo riduce di moltissimo il cerchio e dà maggiori possibilità di trovare la nostra password con minori tentativi rispetto a un brute force attack, risolvendo forse anche il problema del ban da parte del provider e le tempistiche improponibili.

Risulta quindi evidente che una password come Karl1980 per un attacco a forza bruta può essere difficile da indovinare ma per un attacco a dizionario può risultare estremamente facile, forse sarà addirittura una delle prime password create nel dizionario.

Questa tecnica non ha punti critici in particolare se non quello che la nostra password sia così complessa e particolare da non essere compresa nel dizionario. Oppure sia una delle ultime tra le migliaia create e l’attacco finisca bannato dal provider di servizi o dal server.

Sniffing

Un ulteriore modo per craccare password è quella di “sniffarla” dalla rete. Questa tecnica consiste nel utilizzare un computer o un server il quale esegue un attacco man in the middle. Questo attacco gli permette di frapporsi tra il nostro computer e il router della rete. In questa particolare situazione tutto il traffico generato dal nostro computer verso la rete (password comprese) passerà prima per il computer incriminato e solo poi arriverà a destinazione. In questo modo l’utente malintenzionato che manovra il computer o il server incriminato può avere accesso facile alla nostra password.

Il punto critico di questa tecnica è che la maggior parte dei servizi online al giorno d’oggi utilizzano il protocollo di sicurezza SSL. Grazie al certificato di sicurezza SSL, l’utente malintenzionato si ritroverà a catturare solo una serie di caratteri non corrispondenti alla nostra password in quanto crittografata. Mediante alcune tecniche di ssl stripping però è possibile disabilitare tale crittografia e “sniffare” la password così detta in chiaro, cioè non crittografata.

craccare password

Consigli per non farsi craccare la password

Queste sono le tecniche più utilizzate per craccare una password. Nonostante ci siano diversi modi per eludere il sistema di sicurezza nome utente/password, osservando alcune semplici regole è possibile rendere molto robusta la nostra password:

  • Creiamo una password lunga almeno 8 caratteri
  • Inseriamo nella nostra password almeno 1 carattere maiuscolo 1 numero e 1 carattere jolly
  • Non inseriamo nella nostra password parole che possano ricondurre a nostre informazioni di dominio pubblico (nome, cognome ecc.)
  • Cambiamo la nostra password molto spesso, 1 volta al mese
  • Accertiamoci sempre che il sito al quale effettuiamo l’accesso abbia la scritta HTTPS che preceda l’indirizzo del sito web e il simbolo del lucchetto (presente in alcuni browser)

Con questo sistema dovremmo essere al sicuro. Se per indovinare una password molto complessa ci si impiegherebbe ad esempio 3 mesi, cambiandola ogni 30 giorni l’hacker non avrebbe il tempo di craccare la nostra password. Il protocolo SSL dovrebbe poi tamponare le altre falle costituite dal password sniffing.

Quanto ti è stato utile questo articolo?

Clicca sulla stella per votare!

Voto medio 0 / 5. Voti totali: 0

Nessun voto ancora, vota prima di tutti!

Ci dispiace che non ti sia stato utile.

Aiutaci a migliorarlo.

Come possiamo renderlo più utile?

Articoli correlati
Condividi il post
Ultimi articoli