“..e inventati una password. Sicura. Tipo lunga 8 caratteri, e magari che contenga lettere maiuscole e, se puoi, un carattere speciale”. Quante volte l’abbiamo detto e lo ripetiamo, le credenziali devono essere robuste e lunghe a sufficienza. Fino a qualche anno fa craccare una password superiore ad 8 caratteri veniva indicata come cosa non sensata o computazionalmente non conveniente per il dato che essa proteggeva, ma con password più lunghe e il nuovo hardware a disposizione è ancora così vero ?
Come si creano le password lunghe ?
Quando ti chiedono di creare una password maggiore di otto caratteri ti viene subito in mente una parola o una frase..perché? Perché è normale per le persone ricordare più facilmente una stringa come BlackFriday123 che non J4fa3461fffILP. Partendo da questo presupposto, nel corso degli anni ci siamo inventati metodi molto carini per costruire credenziali lunghe e quindi ipoteticamente “robuste” ma semplici da ricordare. Un sistema abbastanza comune è quello di scrivere 4 parole casuali ed utilizzarle come password. Ebbene una parola come fishpowertablemachine, di 22 caratteri, sembra una parola-chiave molto efficiente,robusta e inoltre risulta facile da ricordare.
Parlando di noi italiani, la media della lunghezza di una parola italiana è tra i 5 e i 6 caratteri. Il lessico comune è composto da circa 47.000 vocaboli ma il vocabolario di base è di soli 6.500 e tra questi il lessico fondamentale (che copre il 90% dei nostri discorsi) è di circa 2000. In un articolo del 2010 “il Giornale” ci evidenzia che l’italiano medio utilizza 800 vocaboli.
Facciamo qualche considerazione. Mediamente usiamo 2000 vocaboli, di questi una ristrettissima parte supera gli 8 caratteri, dato che mediamente la nostra lingua ha parole lunghe tra i 5 e i 6 caratteri. Se ci pensiamo è un campione (computazionalmente parlando) molto ristretto di dati. Questo significa che se dovessimo scegliere 4 parole per fare una password sceglieremmo 4 vocaboli di 5-6 lettere da un rosa di 2000 parole comuni. Un esempio ? IlGattoSaltavaFossi è più comune di MisoneistaPleonastico
Cracchiamole !
Partendo da alcune di queste considerazioni, Netmux , una società che si occupa di sicurezza (in particolare delle credenziali) ha provato ad attaccare con la forza bruta password più lunghe di 12 caratteri. Come hanno deciso di procedere ? In due modalità: un attacco definito “combo” e uno “hybrid”.
Nell’attacco combo, gli esperti di Netmux hanno scaricato le 10.000 parole più utilizzate in lingua inglese e le hanno concatenate. Nell’attacco “ibrido” un dizionario viene miscelato con una “maschera jolly” preposta o posposta al vocabolo.
Per intenderci, questo è il dizionario dell’attacco “Combo”
| GENNAIO | GENNAIOGENNAIO | GENNAIOGATTINO | GENNAIOPOMODORO |
| GATTINO | GATTINOGATTINO | GATTINOGENNAIO | GATTINOPOMODORO |
| POMODORO | POMODOROPOMODORO | POMODOROGENNAIO | POMODOROGATTINO |
e questo il dizionario dell’attacco Ibrido
| GENNAIO | GENNAIOABC | GENNAIOBCD | GENNAIOCDE |
| GATTINO | GATTINOABC | GATTINOBCD | GATTINOCDE |
| POMODORO | POMODOROABC | POMODOROBCD | POMODOROCDE |
Che strumenti sono stati utilizzati per il test ?
In NetMux viene utilizzato un hardware dedicato per il password cracking, composto da un server con CPU, ma soprattutto GPU e RAM dedicata. Il password cracker è comunque un server assemblato del valore di meno di 5.000€
I risultati
Ma veniamo ai risultati: una password come ShippingNovember (16 caratteri e 2 maiuscole) viene craccata in 28 secondi. Una composta da tre parole come securityobjectivesbulletin (che sembra pure una stringa robusta) impiega 2 secondi. Alziamo il tiro con sourceinterfacesgatheredartists , ben 5 parole concatenate..tempo per il crack ? 5 ore e 35 minuti.
Attacco Ibrido ? Prendiamo una password come environmentsqaz472 , ebbene ci sono voluti 20 minuti per trovare il pattern corretto e poi la parola chiave viene craccata in 14 secondi.
Caratteri speciali ? Al vaglio la password 1996sophia**! , 4 minuti per il pattern e 7 secondi per il cracking completo !
Prendiamo un altro schema classico .. una password che ha una parte in comune con altre e una parte che cambia. La stringa in questione è Alty59402847, dove Alty5 è la parte che non cambia. Ebbene Alty59402847 crolla in 30 minuti.
Conclusioni
Cosa ci insegnano quindi queste analisi ? Innanzitutto la password va scelta attentamente, e una password che sia solamente lunga non può più definirsi sicura. Anche password che contengono termini comuni della nostra lingua non sono più da considerarsi sicure. Meglio affidarsi a soluzioni di password management sia per i privati che per le aziende. Questi tool (moltissimi sono gratuiti e validi) hanno spesso integrati dei generatori di password casuali e altri strumenti molto interessanti come la verifica dell’anzianità della password. Qualche nome ? Se volete tenere le password sul vostro computer in un file cifrato al sicuro potete utilizzare KeePass. Se lavorate in un team date un occhio a Password Vault Manager , se preferite invece un servizio in cloud (chiaramente dovrete fidarvi del gestore) potete utilizzare Password Vault Manager, SafeInCloud oppure LastPass. Ricordatevi di effettuare comunque periodicamente un backup delle password !
Linkografia
NetMux Cracking 12 Character & Above Passwords (in lingua inglese)
Devolution PV Manager – Un ottimo password manager per Team
KeePass – Un semplice password manager per privati
SafeInCloud – Un password manager in cloud, fruibile anche da smartphone
LastPass – Un password manager in cloud
Il Giornale – L’italiano medio usa 800 parole