Sulla scia degli ultimi account compromessi, tra cui Associated Press e le violazioni orchestrate dal “Syrian Electronic Army”, Twitter ha recentemente autorizzato 2FA (2 Factor Authentication) per aumentare la sicurezza
Sulla scia degli ultimi account compromessi, tra cui Associated Press, Burger King, Jeep e Financial Times, e le violazioni orchestrate dal “Syrian Electronic Army”, Twitter ha recentemente autorizzato 2FA (2 Factor Authentication) per aumentare la sicurezza.
Tuttavia gli utenti sono ancora responsabili di scegliere password sicure e difficili da scoprire. Se la vostra password è stata compromessa, il controllo del vostro account potrebbe essere nelle mani dei criminali informatici. Nonostante il tempo e le risorse impiegate, tutte le password possono essere violate indipendentemente dalla loro complessità – una pass-string di 200 caratteri casuali è vulnerabile come una password contenente un solo carattere – l’obiettivo di una string-pass complessa è rendere l’attacco temporaneamente irrealizzabile. Diamo un’occhiata al numero totale di possibili combinazioni per una determinata base di elementi:
Questa tabella comprende i caratteri ripetuti ed è soggetta alla lessicalità (nell’ordine).
Naturalmente, la prima riga contiene tutte le parole possibili nella lingua Inglese, fino a 8 caratteri. Questo può sembrare un numero irraggiungibile di combinazioni, ma con le moderne GPU (Graphics Processing Unit) in grado di calcolare gli hash ad una velocità fino a 772 MH/s (772 milioni di hash al secondo), la prima riga potrebbe essere esaurita in circa 270 secondi o 4,5 minuti.
E’ improbabile che un utente scelga arbitrariamente 8 caratteri quando crea un password che sarà utilizzata ogni giorno; una stringa tipica probabilmente conterrà alcuni caratteri semantici, come una parola contenuta nel dizionario (e alcune mutazioni della stessa). Sapendo questo, i cracker hanno molti aiuti per questo tipo di attacco, tra cui file di dizionario e tabelle Rainbow – simili ai file di dizionario ma contenenti hash pre-calcolati e l’equivalente plaintext.
Come una password può essere craccata
Per dare un esempio di quanto velocemente una password possa essere craccata, abbiamo realizzato un test utilizzando un semplice script Python e Hydra di Backtrack combinati con una GPU moderata per colpire una account di prova SMTP:
Hydra v7.3 (c)2012 by van Hauser/THC & David Maciejak – solo per scopi legali
Hydra (http://www.thc.org/thc-hydra) a partire dal 23-05-2013 alle 07:08:12
……
login: ****** password: dave123
[VERBOSE] utilizzando il meccanismo SMTP LOGIN AUTH
1 su 1 obiettivo completato con successo, 1 password valida ritrovata
Hydra finito il 23-05-2013 alle 07:08:51
<completato>
La password conteneva solo 36 possibili caratteri: le lettere in minuscolo a-z e i numeri da 0-9 ed è stata craccata in 39 secondi.
Mentre i siti più importanti controlleranno (o dovrebbero controllare) i tentativi di autenticazione, è abbastanza comune per siti minori consentire un numero illimitato di tentativi per accedere a un account, che insieme alla possibilità di riutilizzare le password costituisce un grosso problema.
Gli utenti con cui abbiamo parlato solitamente utilizzano quasi in tutti i casi password differenti per siti diversi. Quando l’intervista è stata approfondita è emerso che utilizzano la stessa stringa di base con alcune semplici variazioni, come indicato nell’esempio di seguito:
password
Password
Passw0rd
passw0rd!1
pa$5w0rd!1
Conoscendo la stringa di base e con sostituzioni molto semplici (1337, simboli, ecc.) dell’algoritmo, possiamo violare questi account in pochi secondi. Per un criminale informatico è banale automatizzare questo processo, significa che possono essere ottenuti gli account su alcuni server dimenticati e compromessi, portando ad attaccare e possibilmente compromettere account con lo stesso user name.
Come Twitter testimonia, usare string-pass difficili da individuare e modificare gli user name (non sempre possibile) sono fondamentali per chi usa sistemi, applicazioni o siti accessibili ad altri.
Cosa fare per proteggere gli account
1. Utilizzare string-pass forti, difficili da indovinare e che non siano parole contenute nel dizionario. Se l’app non consente di utilizzare un mix di caratteri alfanumerici e speciali, potreste non volere che il proprietario abbia i vostri dati.
2. Non riutilizzare mai le stesse password. E’ buona abitudine non riutilizzare le password con la semplice sostituzione.
3. Assicurarsi che i vecchi account siano disattivati, dove possibile. Sebbene non potete fidarvi, le credenziali dovrebbero essere cancellate dai database.
4. Pensateci prima di registrarvi a un sito o servizio, leggete sempre le policy di sicurezza.
5. State attenti! Il phishing è un’arma vincente per i cyber criminali, i siti e i servizi non dovranno (o dovrebbero) mai chiedere la vostra password via email.
Rispettando queste regole riuscirete a proteggere il più possibile le vostre password.
“Tanti siti Web richiedono password ed è comprensibile che gli utenti scelgano quelle che possono ricordare più facilmente. Sfortunatamente le password deboli sono sinonimo di un basso livello di sicurezza e della possibilità di compromettere gli account, che possono essere così controllati dai cyber criminali. Dal momento che la nostra vita lavorativa e privata confluisce in un unico universo online: è possibile accedere ai propri profili personali Twitter e Facebook e agli account webmail sia dall’ufficio che da dispositivi mobile, che a loro volta possono accedere alla nostra email di lavoro. Le aziende dovrebbero valutare i possibili rischi, come quelli provocati da password deboli, e assicurasi di avere una tecnologia DLP per proteggere i dati sensibili e i dipendenti”, ha dichiarato Carl Leonard Senior Manager Security Research, Websense Security Labs.
