Quanto impiega un hacker a bucarvi le password?

Un sistema automatico di calcolo, elaborato da Gibson Research, consente di capire perché le parole chiave più lunghe sono anche le più complesse da decifrare. E perché è sempre buona norma, per gli utenti, ricorrere anche a simboli e non solo a lettere e numeri. Pubblicato il 11 giugno 2012 da Elena Re Garbagnati

Le violazioni di sicurezza come quelle che hanno interessato di recente gli iscritti a LinkedIn sono da ricondurre in gran parte all'uso di password troppo semplici. Un articolo pubblicato da PC World, per far capire cosa si intende per complessità delle parole chiave, spiega che con più la parola d'ordine è corta più sono le possibilità che un hacker riesca a individuarla e a "bucare" l'account prelevando dati personali e informazioni critiche.

Più la password è breve e semplice, più è facile da decifrare Oltre alla lunghezza è ovviamente di centrale importanza per la sicurezza il mix di caratteri alfanumerici. Molte volte è infatti sufficiente aggiungere un simbolo o qualsiasi particolare insolito alla parola d'ordine per rendere molto più difficile la cifratura. Un report pubblicato da Gibson Research Corporation sottolinea quello che si è già detto in diverse occasioni: gli utenti sono mediamente pigri, per questo la password più diffusa è "123456", la quarta più comune è banalmente "Password". È facile intuire che per violare questi account non serve un hacker particolarmente esperto. Possibile che la maggior parte di coloro che usano un computer non abbia un minimo di fantasia? Per stimolarla è stato creato un calcolatore automatico con il preciso scopo di far capire agli utenti quanto tempo è necessario per "bucare" password con differenti combinazioni di set di caratteri (solo lettere minuscole, combinazione di maiuscole e minuscole, presenza di cifre e caratteri speciali, eccetera) e di varie lunghezze. Ammettiamo che abbiate scelto una parola d'ordine con lettere e numeri, senza maiuscole e senza simboli. Se la lunghezza è di sei caratteri sono possibili 2,25 miliardi di combinazioni. Un hacker che lavora in remoto e usa un'applicazione web per la cifratura delle password impiegherebbe 3,7 settimane per accedere all'account protetto, procedendo a un ritmo di mille tentativi al secondo. Se lo stesso hacker potesse lavorare offline appoggiandosi a un server gli ci vorrebbero 0,0224 secondi, dato che potrebbe fare 100 miliardi di tentativi al secondo. Se, infine, operasse offline appoggiandosi a sistema cluster gli sarebbero sufficienti 0,0000224 secondi, al ritmo impressionante di 100mila miliardi di tentativi al secondo. I tempi di cifratura ovviamente si allungano se la password diventa di dieci caratteri, perché le combinazione possibili diventano 3,76 quadrilioni. Nel cracking online non ci sarebbe un impatto significativo sui tempi già di per sé lunghi, mentre operando offline sarebbero necessari 10,45 ore appoggiandosi ai server e 37,61 secondi usando sofisticati cluster. Il motivo per il quale è molto utile, se non indispensabile, aggiungere simboli e caratteri speciali alle password emerge dal secondo livello di test, quando alle due varianti descritte sopra si inserisce una terza incognita, un simbolo. Con una parola d'ordine di sei caratteri le combinazioni possibili salgono a 7,6 miliardi e al malcapitato hacker che lavora in remoto con un'app sarebbero necessari 2,4 secoli per riuscire a violare il vostro account. Operare offline è chiaramente la situazione più conveniente: basterebbero 1,26 minuti appoggiandosi a semplici server e 0,0756 secondi con un cluster. Le password più efficaci devono essere lunghe 10 caratteri e con almeno un simbolo Il caso più complesso che è stato prospettato è quello in cui si compone una password di dieci caratteri di cui almeno uno è un simbolo: le combinazioni possibili schizzano a 171,3 Xextilioni (171.269.557.687.901.638.419, oppure 1,71 x 10^20). L'hacker che usa una web app impiegherebbe 54,46 milioni di secoli al ritmo di mille tentativi al secondo, il cracker offline appoggiandosi ai server impiegherebbe 54,46 anni a 100 miliardi di tentativi al secondo, mentre usando un cluster arriverebbe al record di 2,83 settimane, con 100mila miliardi di tentativi al secondo. La morale è scontata: la password inespugnabile non esiste, ma per non aiutare gli hacker la soluzione migliore è quella di impostare parole d'ordine di almeno 10 caratteri che includano almeno un simbolo. Non è difficile, e oggi ci sono in circolazione decine di programmi che memorizzano e cifrano le password per aiutarvi a non dimenticarle, meglio iniziare a farne buon uso. hacker