3 modi per aprire una serratura

Se un ladro vuole aprire la serratura della porta di casa tua, ha tre modi:

• forzare la serratura;
• rubarti chiave;
• chiederti la chiave.

Adesso potresti chiedermi cosa ha a che fare tutto ciò con l’informatica? Grazie per la domanda. Una password nel mondo virtuale è esattamente come una chiave nella vita reale. E questa similitudine continua anche quando qualcuno vuole dare un’occhiata al tuo conto in banca (o alla casella di posta elettronica, o all’account Google, ecc.).

Forzare la serratura

L’equivalente virtuale degli strumenti di lockpicking è il classico modo di indovinare la password. Ci sono due modi principali per farlo: usando la forza bruta oppure un dizionario.

Quest’ultimo tipo di attacco è abbastanza semplice. Gli hacker ed i cracker hanno grandi elenchi con le password più usate e altre parole comuni pronti per l’uso. Se l’attacco non riesce, c’è sempre la forza bruta.

La versione stupida di questo attacco crea password semplicemente provando tutte le combinazioni di lettere maiuscole e minuscole, numeri e caratteri speciali (trattino, underscore, percentuale, etc.). Questo metodo funziona sicuramente. Prima o poi. Il problema per un attaccante è che il tempo necessario per verificare tutte le combinazioni può essere nell’ordine di (miliardi di) anni.

Ma c’è un modo più veloce. Quando si crea una password, i numeri di solito sono raggruppati insieme alla fine. Per esempio è raro avere una password come “8st03bene”, mentre “stobene83” è molto più comune.

Un altra consuetudine è quella di rendere maiuscole la prima lettera di parole comuni (ad esempio “StoBene83”) o utilizzare i numeri per sostituire alcune lettere (ad esempio “5toBene83”). Indovinare questo tipo di password è abbastanza facile se si utilizza un attacco basato su dizionario combinato con uno a forza bruta.

Se a questo punto ti stai chiedendo quanto è sicura la tua password, ci sono un paio di siti che possono rispondere alla tua domanda:

• How Secure Is My Password ti dice quanto tempo ci metterà un utente malintenzionato a trovare la tua password, considerando una attacco combinato forza bruta e dizionario
• The Password Meter è un po’ meno preciso, in quanto considera solo la lunghezza e la variabilità dei caratteri, ma suggerisce alcune regole per creare password veramente sicure

Quando provi i siti qui sopra (o qualsiasi altro password checker), non inserire mai le tue password reali, perché possono essere rubate (e riutilizzate) dal sito stesso o durante la trasmissione (se inviate in chiaro).

Rubare la chiave

Ora hai una password super-sicura e ti senti tranquillo e al sicuro, giusto? Ma i ladri sono in agguato. Ogni volta che utilizzi la password in un’applicazione o su un sito può venire rubata: questo è un attacco di tipo man-in-the-middle (uomo nel mezzo).

Questo tipo di attacco può essere possibile se le credenziali vengono trasmesse in chiaro attraverso una connessione non crittografata (ad esempio il WiFi di alberghi e aeroporti), ma ci sono alcune situazioni in cui riesce anche tramite una connessione sicura (SSL/TLS).

Naturalmente, la password può essere rubata se il ladro può accedere al database degli utenti di un sito. Si potrebbe obbiettare che se qualcuno ha l’accesso al contenuto di un server, non ci si dovrebbe preoccupare delle password: tutti i dati sono già nelle sue mani. Questo non è del tutto vero: gli hacker sanno che molte persone usano la stessa password per più servizi diversi, così, per esempio, conoscere la password di posta elettronica li può portare ad accedere anche all’account dell’home banking. Questo è il motivo per cui è buona norma utilizzare una password diversa per ogni servizio.

Al giorno d’oggi, non credo che esista un servizio online è così pazzo da salvare le password dei suoi utenti in formato testo. Trasformarle con una semplice funzione di hashing è stato la norma negli anni passati, fino a quando qualcuno ha scoperto che si può risalire alle password utilizzando dizionari hash e tabelle rainbow. Per questo motivo, è stato aggiunto un po’ di sale al semplice hashing. Salare, in questa situazione, significa aggiungere alcuni caratteri casuali (chiamati appunto “sale”) alle password prima di effettuare l’hashing. Per aumentare la sicurezza, i vari sali vengono memorizzati in un database separato.

In ogni caso, una password debole può facilmente essere scoperta, indipendentemente dalla sicurezza del server, quindi il consiglio è sempre lo stesso: utilizza password complesse!

Basta chiedere la chiave

Anche se nella vita reale è improbabile che un ladro ti chieda la chiave di casa tua, nel mondo digitale questo è il tipo di attacco più comune e più efficace. Il nome tecnico è phishing e, secondo Wikipedia,

[…] è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso.

Sono certo che almeno una volta nella vita tu abbia ricevuto una e-mail da una banca che ti ha chiesto di controllare i movimenti del conto corrente o della carta di credito. Nella mail c’era un link a un sito web falso molto simile a quello della banca. Basta effettuare il login per dare la propria password (e non solo) ad un truffatore.

La cosa che rende possibile questo tipo di attacchi è chiamata ingegneria sociale ed ha raggiunto il suo apice nell’era di internet, anche se la tecnica di base è stata utilizzata probabilmente fin dalla notte dei tempi. Consiste in una serie di inganni che mirano a far sì che la vittima esegua azioni che normalmente non farebbe.

L’invio di tonnellate di email fasulle dalla banca (o da Facebook, dalla posta, ecc.) è simile alla pesca a strascico. Ma c’è anche una tecnica chiamata spear phishing (pesca con l’arpione) che ha come bersaglio una persona ben precisa. Per fare questo, l’attaccante inizia a raccogliere il maggior numero di informazioni possibili sulla vittima, incluso il cognome da nubile di sua madre e il nome del suo primo animale domestico ;-)

Purtroppo, a volte gli attacchi sono un po’ più diretti.