La disponibilità di nuovi tool per il craking delle password in grado di sfruttare le sempre più potenti GPU delle schede video, mette in serio pericolo gli utenti che si affidano a password troppo brevi e scovabili con attacchi cosiddetti “a forza bruta” (algoritmi che consistono nel verificare tutte le soluzioni teoricamente possibili fino a individuare quella effettivamente corretta).
Secondo alcuni ricercatori nel campo della sicurezza del Georgia Tech Research Institute, una password con meno di sette caratteri sarà presto “inadeguatamente senza speranza”, anche se essa contiene simboli e caratteri alfanumerici. I ricercatori raccomandano agli utenti l’utilizzo di password lunghe almeno 12 o più caratteri. I moderni processori grafici consentono la creazione di tool grazie ai quali è possibile recuperare le password, sfruttando una potenza di elaborazione che è pari a quella dei supercomputer venduti fino a dieci anni addietro.
L’utilizzo di password lunghe almeno 12 caratteri è solo il primo dei passi da seguire per impedirne l’individuazione; agli hacker non manca la fantasia e più agguerriti ricorrono a database con dizionari di parole e dizionari con le password comunemente usate. A nulla poi servono password anche di 20 o più caratteri se nel computer-target i malintenzionati riescono a installare un keylogger (un software che memorizza tutto quanto digitato dall’utente).
I problemi dell’applicazione di password sicure ai siti web sta diventando un interessante campo di analisi. I ricercatori Joseph Bonneau e Sören Preibusch hanno recentemente pubblicato un documento dal titolo “The password thicket: technical and market failures in human authentication on the web” (qui in versione PDF) presentato nel corso della conferenza WEIS 2010 che si è tenuta a Boston a giugno di quest’anno; in questo documento e in successivi quattro articoli sul blog Light Blue Touchpaper, i due studiosi hanno analizzato l’implementazione delle password, basandosi sullo studio di 150 popolari siti di e-commerce, news e webmail. Se i ricercatori del Georgia Tech Research Institute si sono concentrati sulla forza delle password o su come gli utenti scelgono le password, il team di Cambridge ha studiato come i siti web sviluppano e applicano policy di sicurezza sulle password. Molti siti non applicano misure adeguate, come ad esempio la memorizzazione di password come “hash” (stringhe arbitrarie di caratteri) e non bloccano i tentativi di accesso multipli e ripetuti (un sistema che consente di superare un sito web semplicemente provando e riprovando). Lo stesso team ha anche analizzato come siti con bassi sistemi di sicurezza, riescano a compromettere anche siti con elevati livelli di sicurezza, giacché gli utenti tendono a riutilizzare le stesse password su più domini. Da questo punto di vista è interessante anche notare come siti con bassi sistemi di sicurezza (esempio i siti di news on-line) si ostinano a cercare di raccogliere username e password “principalmente per ragioni psicologiche”, un modo per raccogliere dati di marketing e affiliarsi la clientela, ma anche un modo che potrebbe consentire ad hacker di avere a disposizione username e password usate dagli utenti per siti più pericolosi e importanti.
[A cura di Mauro Notarianni]
