Tra i numerosi miti a proposito delle regole per creare una buona password circolano spesso informazioni infondate. E lo sa bene Matthias Ungethuem, hacker di 28 anni, per cui violare una password è un’attività di ordinaria routine. Conosciuto con lo pseudonimo di “unnex”, domina tutti gli arcani dei computer e dei sistemi informatici da anni ed è riuscito ad hackerare siti come Facebook, Paypal, Interpol, NSA, CIA, FBI, Bundeswehr e Hells Angels.
Ma sotto il mirino degli hacker non ci sono solo le grandi istituzioni, bensì tutti i comuni utenti dovrebbero prestare attenzione e conoscere i principi base i materia di sicurezza informatica. Oggi hackerare un account Facebook, un account di posta elettronica o un conto online non è così difficile, per questo è importante che il grande pubblico impari a utilizzare delle password sicure.
La maggior parte delle password che utilizziamo tutti i giorni sono degli inviti a essere hackerati. In Germania, per esempio, la password più utilizzata da svariati anni è "Hello", seguita da "password" e "hello123".
Il sito Motherboard ha quindi intervistato Matthias Ungethuem, che ha spiegato come costruire una password a prova di bomba e ha destrutturato tutti i falsi miti che circolano a proposito.
Secondo Matthias i più grandi falsi miti sulle password ritenute solide sono essenzialmente tre: “Da una parte ci sono degli utenti convinti di non essere bersaglio di hacking, e non si prendono la briga di inventare delle password leggermente elaborate. Inutile dire che fanno un sacco di cazzate. Gli attacchi, generalmente, sono orientati verso grossi siti web, non verso persone specifiche. Una volta che l'attacco è riuscito, gli hacker attaccheranno gli account in massa, senza pietà. Non decideranno di salvare l'uno o l'altro con cura dopo aver esaminato i dati. Secondo mito: bisogna cambiare molto frequentemente le password di tutti i propri account. No, non è così automatico. Modificare costantemente le proprie password può essere un segno di incertezza. Alcune aziende chiedono ai loro dipendenti di modificare la password dell'intranet una volta a settimana, il che sarebbe una buona idea se solo tutti avessero una memoria d'elefante. Questo fatto in realtà spinge molti impiegati a scrivere le proprie password su un foglio di carta che lasciano bene in vista sulla scrivania. La tastiera diventa l'equivalente dello zerbino sotto cui si nascondono le chiavi di casa. Lo fanno tutti, è super-pericoloso e anche stupido”.
Il terzo mito “è senza dubbio il più pericoloso: alcune persone pensano che concepire una password sensata, o generata secondo certe regole (un algoritmo semplice, per esempio) è un'ottima idea. Invece no. Se lo fate, fate un regalo enorme agli hacker, perché il principio basilare del cracking è trovare una coerenza interna. Più la struttura della password è logica, più è facile craccarla, più si è vulnerabili”.
Ma come fa un hacker a sapere secondo quali regole io compongo la mia password? Le possibilità sono infinite.
“In realtà no, la varietà dei sistemi utilizzati dalle persone è piuttosto ridotta. Le possibilità di trovare un sistema iper-originale, unico, è davvero remota. Da parte loro, gli hacker utilizzano quelle che chiamano "liste del dizionario": le liste di parole che contengono degli enormi archivi lessicali, delle espressioni idiomatiche, delle liste di nomi e delle password ibride. Una password ibrida è una password composta da numerose parti, di cui alcune hanno un senso e altre no, è il tipo di password più utilizzato. MarkusX1 per esempio, o qwerty493. La maggior parte delle password è costruita così, e non sono per niente robuste”.
E allora qual è il segreto di una password solida? “Deve essere di 16 caratteri, di cui caratteri speciali, numeri, maiuscole e minuscole. Non deve avere senso né essere composta in maniera algoritmica. Poi non deve mai essere trasmessa in chiaro senza cifratura, né essere digitata su un sito non sicuro (privo del protocollo https, per esempio). Infine, non bisogna mai scriverla, deve restare nella vostra testa”.
Quando si rispettano queste regole alla lettera, si è davvero tutelati? Voglio dire, se si ha un sistema capace di lanciare 4,3 miliardi di attacchi al secondo, nessuna password memorizzabile sarà mai abbastanza lunga e solida per tenere il colpo.
“Puoi valutare la robustezza della tua password da solo. Basta prendere il numero di caratteri possibili e fattorizzarli con la lunghezza della password. Per esempio, "password" contiene solo lettere dell'alfabeto, e il numero di caratteri possibili è 26. Fai 26 per 8 (il numero di caratteri) e hai 208 miliardi di combinazioni possibili. Se aggiungi i maiuscoli, arrivi a 52 caratteri possibili (da a a z, e da A a Z). "PassWoRd" contiene dunque 52 possibilità per 8, che fa 53 milioni di combo possibili. Basta paragonare i numeri ottenuti con le performance della tua attrezzatura. La mia carta grafica produce 4,3 miliardi di attacchi al secondo, il che mi permette di craccare la parola "password" in 48 secondi. Per "PassWord" mi servono circa tre ore. Più il numero di caratteri possibili (minuscoli, maiuscoli, numeri, caratteri speciali) è elevato, e più la password è lunga più le possibilità aumentano, e chi attacca impiegherà più tempo per craccare la password”.
E i database di gestione delle password? “La centralizzazione delle password non mi disturba per principio. Ma quando la chiave principale del database viene craccata, sei fottuto. Chi attacca ha accesso alla totalità delle password, per lui è una festa, piange di gioia. Anche se ci hai messo tutta la creatività del mondo, non servirà a niente. Si tratta di una soluzione estremamente rischiosa, secondo me. Metti tutte le uova nello stesso paniere, la tua password principale deve essere più complessa della complessità stessa”.
“La password non deve essere basata su nessun motivo ricorrente, nessuna regola logica. L'uomo sarà sempre meno dotato della macchina”, conclude Matthias. “L'ultimo consiglio che posso dare è di utilizzare la tastiera nella sua totalità. Prendi dei caratteri a destra o a sinistra, ma anche al centro, ancora meglio se usi anche i caratteri delle altre lingue, come quelli cirillici o ebraici. Questa cosa fa veramente strippare gli hacker”.
© Palermomania.it - Il portale di Palermo a 360°
Lascia un tuo commento
Questo articolo ha ricevuto
Approfondimenti
Opinioni a confronto
Articoli più letti