Hacker a caccia di password: parte 3°

Creare password efficaci e facili da ricordare

Eccoci alla fine del viaggio.

Nella prima parte abbiamo analizzato come i siti web trattano le nostre password (https://passounosecurity.ch/hacker-a-caccia-di-password-parte-1/).

Nella seconda parte abbiamo mostrato le tecniche utilizzate dagli hacker per scoprirle (https://passounosecurity.ch/hacker-a-caccia-di-password-parte-2/).

In questa ultima tappa studieremo quali trucchi si possono usare per creare delle password resistenti agli attacchi, ma anche facili da ricordare.

Per prima cosa stabiliamo quali sono i criteri che dobbiamo seguire per creare una password efficace:

• Deve essere resistente agli attacchi di Brute-Force;
• Deve essere resistente agli attacchi a dizionario;
• Deve essere semplice da ricordare.

Per capire come rispettare il primo criterio ragioniamo sulla password “1980”.

Le sue debolezze sono la lunghezza, è troppo corta, e l’uso di sole cifre.
Infatti se gli attacchi Brute-Force tentano tutte le possibili combinazioni, per una password di 4 cifre, i possibili valori saranno solo 10.000 che in termini computazionali sono pochi decimi di secondo.

La soluzione è renderla più lunga e utilizzare lettere dell’alfabeto (maiuscole/minuscole) e caratteri speciali(Es. !%&?).
Senza addentrarci in complicati calcoli combinatori, se costruissimo una password di 8 caratteri composta da:

• 2 cifre
• 2 lettere minuscole
• 2 lettere maiuscole
• 2 caratteri speciali

le possibili combinazioni sarebbero: 46,794,342,400, quasi 47 miliardi.

Vi sembrano tanti?

Pensate che se usassimo 4 cifre e non solo 2, le possibili combinazioni diventerebbero:

3,163,297,546,240,000

Non ne sono sicuro, ma credo si legga come qualche migliaio di miliardi!

A questo punto penserete che sia una password complicatissima, impossibile da ricordare e invece una password che risponde a queste caratteristiche è semplicemente: CHri1980!!

4 cifre = 1980
2 maiuscole = CH
2 minuscole = ri
2 caratteri speciali = !!

Riuscireste a ricordarla? Nessuno la dimenticherebbe.

Eppure, benché tremila miliardi possa sembrare un numero infinito, quella password richiederebbe poche ore per essere scoperta.

Infatti è molto resistente agli attacchi Brute-Force, ma debolissima contro quelli a dizionario essendo semplicemente un nome e una data.

Quindi soddisfatto il primo criterio, bisogna renderla resistente contro gli attacchi a dizionario rendendola meno “leggibile”.

E’ possibile ottenere questo risultato mischiando i caratteri, in maniera tale che letti non risultino avere un senso compiuto. Questo è utile perché un hacker creerà una lista di parole prevedendo alcune possibili variazioni ad es:

• CHRI1980!!
• Chri1980
• 1980Chri??

E per quante possano essere le variazioni pensate, saranno sempre un numero limitato e più aumenterà la confusione e la diffusione dei nostri caratteri (confusione e diffusione sono tecniche di crittografia), più sarà difficile scoprire la nostra password.

Per dimostrare questo basta affidarsi ad un sito che provi la forza di una password e inserirla:

• CHri1980!! Richiederebbe 45 ore.
• CH19ri80 !! Richiederebbe 9 anni e abbiamo solo mischiato sillabe e numeri.
• !C1H9r8i0! Richiederebbe 129 anni, abbiamo messo i caratteri speciali in testa, in coda e poi alternato lettere e numeri.

Adesso abbiamo creato una password considerata resistente agli attacchi di Brute-Force e agli attacchi a dizionario, dobbiamo quindi capire come soddisfare l’ultimo criterio, ossia renderla semplice da ricordare.

Per far questo la tecnica migliore è utilizzare 2 componenti da tenere a mente:

• Un numero di almeno 4 cifre (1980);
• Un sequenza di 4 caratteri speciali (&&%%).

A questi due elementi mnemonici possiamo aggiungere 4 lettere dal nome del sito/servizio per il quale la stiamo creando.

Ad esempio da facebook.com si potrebbe scegliere:

• facebook.com = FAce
• facebook.com = BOok
• facebook.com = CEbo
• facebook.com = OKco.

Scegliamo FAce e quindi avremo:

1980 + %%&& + FAce = 1980%%&&FAce che richiederebbe 22 secoli per essere scoperta.

E si può far di meglio!

19 + %% + && + FAce + 80 = 19%%&&FAce80 richiederebbe solo 7 mila anni.

E se proprio vogliamo esagerare!

1 + FA + && + %% + ce + 980 = 1FA%%&&ce980 servirebbe pazienza per 2 milioni di anni.

E se ci si chiedesse di cambiare la password 4 volte l’anno?

Se lavorassi alla posta potrei pensare di usare l’anno corrente 2022 e aggiungere le prime 4 lettere di posta.ch e quindi POst:

20PO&&%%st221°Trim 521 trillioni di anni per essere decriptata
20PO&&%%st222°Trim 521 trillioni di anni. Una lunga attesa.

E cosi via…

Quindi in buona sintesi la cosa importante è riuscire a crearsi un proprio algoritmo, un giochino logico che possiamo ripetere per ogni sito, ottenendo una password unica, mai la stessa, ma che possiamo ricostruire velocemente, senza necessità di ricordarla mescolando un numero di 4 cifre, 4 caratteri speciali e 4 lettere maiuscole/minuscole prese direttamente dal sito/servizio.

Ovviamente non esiste il metodo assoluto e sicuro al 100%.
Queste regole sono efficaci per proteggersi dal cracking delle password a seguito di un furto di dati di cui potrebbero essere vittime i siti che noi utilizziamo.

Tuttavia esistono altre tecniche e quindi è consigliabile per i servizi online avere sempre attivata la funzione di Autenticazione a due fattori in maniera da sapere sempre se qualcuno sta tentando di entrare nel nostro account.
Quelle proposte sono regole pensate per rendere la password sempre “ricordabile” in maniera da non usare sempre le stesse, sceglierne di troppo semplici o peggio scriverle su qualche post-it da appendere sul monitor.

Non siate pigri!