Le password lunghe sono diventate meno sicure

Pessime notizie per la sicurezza informatica degli utenti comuni: le password lunghe potrebbero non essere più tanto sicure - almeno in alcuni casi.

Fino a oggi erano moltissimi a vivere nella quieta sicurezza di una password davvero lunga, ma facile da ricordare - Un vero e proprio scalino insormontabile per un PC.

Purtroppo l’introduzione di un password cracker completamente gratuito chiamato ocl-Hashcat-plus potrebbe cambiare completamente le carte in tavola, rendendo “parolone” e “frasi compresse” poco sicure.

Questa versione di Hashcat poteva affrontare 15 caratteri con facilità, ma lì finiva il suo potere. La versione 0.15, rilasciata sabato, è meno limitata. Questo software, infatti, può aggredire con un certo successo password lunghe fino a 55 caratteri.

No rest for the wicked



Secondo Jens Steube, soprannominato Atom, che è il capo-sviluppatore di ocl-Hashcat-plus, la feature era tra le più richieste. A seconda del livello di crittografia della password e dell’hardware utilizzato (nell'immagine, un cluster di GPU dedicate a questo duro lavoro), il software può crackare 24 caratteri o anche 64, ma l’introduzione degli algoritmi necessari a questo duro lavoro riducono del 15% la velocità di Hashcat.

Quale è il metodo utilizzato? Dizionari, Bibbia, letteratura, discussioni comuni su Internet - le frasi più usate dagli utenti ormai smaliziati (e disperati) sono inseguite in ogni branca dello scibile umano.

Di fatto il computer non “indovina” nulla, non è brute force: è caccia alla citazione. Una frase inventata da voi è intrinsecamente più sicura di "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1”, perché Lovecraft è su Wikipedia, ma la vita di un “Mario Rossi” qualsiasi no.

E se ci sono “politiche sulle password” che obbligano a inserire certi caratteri (come capita con Microsoft), il lavoro diventa subito più facile.

Ma non è tutto oro quello che luccica per i cracker: nonostante questi intelligenti tentativi di aggirare le difese degli utenti, molto è dipendente anche dalle effettive possibilità di sferrare un attacco. Se ci sono limitazioni del numero di tentativi di indovinare la password, Hashcat non ce la può fare: è utile solo contro i database di hash che sono stati sottratti da un hacker.

È come la guerra eterna tra gatti e topi, insomma.

Via | Ars Technica

  • shares
  • +1
  • Mail