Attacchi di forza bruta
Gli attacchi di forza bruta sono effettuati da hacker che cercano di decifrare una password semplicemente provando diverse combinazioni di caratteri in rapida successione. L'algoritmo è molto semplice e si limita a provare il maggior numero possibile di combinazioni di caratteri, motivo per cui viene chiamato anche "ricerca esaustiva". L'aggressore di solito utilizza un computer ad alte prestazioni, che esegue una grande quantità di calcoli al secondo e, di conseguenza, può testare un numero elevato di combinazioni nel minor tempo possibile.
Il metodo è spesso utilizzato con successo nella pratica, in quanto molti utenti utilizzano password brevi, che spesso consistono solo di lettere dell'alfabeto, riducendo drasticamente il numero di combinazioni possibili e rendendo più facile l'indovinare.
Decodifica delle password
Il progetto RC5 dell'organizzazione Distributed.net mostra quanto velocemente possono essere decifrate le password. L'obiettivo del progetto è la decodifica di un messaggio, che è stato crittografato con una chiave a 72 bit. A tal fine, vengono provate tutte le chiavi possibili, fino a trovare la chiave appropriata. Poiché diversi utenti mettono a disposizione le loro capacità informatiche per questo progetto, attualmente (a partire dall'8 maggio 2012) è possibile generare più di 800 miliardi di chiavi al secondo. I progetti precedenti di questa organizzazione hanno decifrato una chiave a 56 bit in 250 giorni e una chiave a 64 bit in 1.757 giorni.
Combinazione e lunghezza della password
Alcuni esempi di calcolo illustreranno l'interazione tra lunghezza e caratteri utilizzati per la sicurezza di una password. Negli esempi di calcolo, si prevede una generazione di 2 miliardi di chiavi al secondo, poiché ciò corrisponde approssimativamente alla velocità di un singolo computer molto forte.
Quando crea una password, di solito sono disponibili i seguenti caratteri:
- Numeri (10 diversi: 0-9)
- Lettere (52 diverse: A-Z e a-z)
- Caratteri speciali (32 diversi).
Il numero di combinazioni possibili viene calcolato con la seguente formula:
Combinazioni possibili = numero possibile dicaratteriLunghezza della password
Ne derivano i seguenti esempi di calcolo, senza considerare altri fattori, come gli attacchi del dizionario:
La password è composta da | Combinazioni possibili | Tempo necessario per decifrare |
---|---|---|
5 caratteri |
365= 60,466,176 |
60,466,176 / |
7 caratteri |
527= 1,028,071,702,528 |
1,028,071,702,528 / |
8 caratteri |
688= 457,163,239,653,376 |
457,163,239,653,376 / |
9 caratteri |
949= 572,994,802,228,616,704 |
572,994,802,228,616,704 / |
12 caratteri |
9412= 475,920,314,814,253,376,475,136 |
475,920,314,814,253,376,475,136 / |
Si può vedere molto chiaramente l'impatto della lunghezza della password e dell'uso di diversi gruppi di caratteri sulla sicurezza di una password.
Protezione contro gli attacchi brute-force
L'unico modo per difendersi dagli attacchi brute-force è utilizzare una master password complessa, sufficientemente lunga e composta da una combinazione di lettere, caratteri speciali, numeri ed elementi maiuscoli/minuscoli. Più complessa e lunga è la sua password, minore è la probabilità che il software utilizzato "indovini" la combinazione scelta per caso, come può vedere dagli esempi di calcolo sopra riportati.
Quando crea una nuova password in Password Depot o la fa generare automaticamente utilizzando il Generatore di Password, vedrà quanto tempo ci vorrà per decifrare quella password. Password Depot non considera solo i fattori di cui sopra, come il numero di caratteri, ma anche altre vulnerabilità, come la vulnerabilità agli attacchi del dizionario.
Un altro modo per rendere più difficili gli attacchi brute-force è quello di allungare il tempo tra due tentativi di accesso (dopo aver inserito una password in modo errato). Di conseguenza, il computer ad alte prestazioni dell'hacker può essere rallentato, nonostante i numerosi calcoli al secondo di cui sarebbe teoricamente capace. Ecco perché in Password Depot la finestra di dialogo della password principale viene bloccata per alcuni secondi se inserisce una password principale errata. Con l'aumento della frequenza di inserimento di password errate, anche questo tempo di attesa aumenta.