Tecnologia
August 27 2013
Se i ricercatori di sicurezza di mezzo mondo hanno sempre consigliato di utilizzare password lunghe e complesse un motivo ci sarà. Spesso i programmi utilizzati dagli hacker per cercare di scoprire, con esito positivo, le password dei più svariati servizi web, hanno un limite: possono lavorare solo su codici lunghi un determinato numero di caratteri digitati. Questo vuol dire che fino a ieri se avevamo una password di almeno 24 caratteri potevamo stare tranquilli, almeno più di quanto possiamo esserlo oggi.
Quello che cambia è che dal 26 agosto gli sviluppatori del software ocl-Hashcat-plus hanno inserito la possibilità di sfidare i codici di accesso fatti di ben 55 caratteri. Si tratta di un miglioramento che si presenta come conseguenza dell’uso di lunghe password e frasi per proteggere gli account e le attività online. La versione classica di Hashcat, uno dei programmi più utilizzati per attaccare i codici di accesso dei navigatori, poteva scovare un gran numero di hash crittografici (ovvero le password “mascherate”) ma solo se erano lunghe fino a 15 caratteri. C’è da dire che il programma ha da sempre supportato la possibilità di scoprire password più lunghe ma con tempi di lavorazione nettamente superiori. Per chi non vuole annoiarsi ore ed ore davanti ad una maschera DOS ecco allora l’aggiornamento alla versione 0.15 con le nuove note di rilascio .
“E’ stata di gran lunga una delle caratteristiche più richieste – ha detto Jens Steube, capo sviluppatore di Hashcat – abbiamo pensato a lungo se aggiungere o meno il nuovo supporto con la conseguente rimozione di alcune ottimizzazioni. Adesso il programma è più lento del 15% ma molto dipende dal processore, scheda grafica e tipo di attacco che si sta effettuando”. L’aggiornamento di ieri porta la possibilità di raggiungere fino agli otto miliardi di tentativi al secondo su un numero virtualmente illimitato di hash da compromettere.
Non è una novità che molte persone si affidino oggi a password e passphrase più lunghe e complesse nella speranza di mantenere inalterato il vantaggio nei confronti degli hacker e delle loro tecniche. Dal canto loro gli smanettoni hanno risposto espandendo le fonti dalle quali i loro programmi possono attingere per scovare le password. Qualche tempo fa il ricercatore di sicurezza Ylannis Chrysanthou è riuscito a decifrare la password “Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn1” grazie al fatto che fosse inserita in un articolo di Wikipedia con riferimento alla breve storia “The Call of Cthulhu” di H. P. Lovecraft.
Alla luce di quanto detto come ci si può difendere dai nuovi attacchi hacker? Non serve scegliere una password più lunga di 24 caratteri, visto che non sempre basta. Bisogna invece creare un mix di lettere (maiuscole e minuscole), numeri e caratteri speciali (punti esclamativi, interrogativi, ecc) e far si che la frase sia "unica" e non facilmente determinabile dalla vostra vita privata e spesso leggibile sui social network (per questo gli hacker utilizzano tecniche di social engineering per scovarle).
Ricordiamo che l’utilizzo di tali software è indicato per i cosiddetti “pentester” o i responsabili di rete che vogliono controllare l’affidabilità delle password scelte dai dipendenti o della propria struttura organizzativa. I navigatori domestici non dovrebbero fare uso di simili tecnologie per non compromettere la propria fedina penale e gli account di amici, parenti e semplici sconosciuti.
Segui @Connessioni