Creato da tanksgodisfriday il 26/03/2006

elaborando

Cose varie al PC, sul Web e nella mente. Puoi scrivermi a: tanksgodisfriday@libero.it

« La regina dei castelli di carta

Varcando la soglia »

La password? Almeno da 12 caratteri

Post n°1580 pubblicato il 22 Agosto 2010 da tanksgodisfriday

Tag: webberie

Quanto

tempo impiega un malintenzionato ad imbroccare la password del nostro account, che sia su Facebook, Twitter o che si tratti della casella di posta elettronica? Se la password è di 8 caratteri o meno, bastano poche ore.

Facciamo due conti. Se i caratteri consentiti sono le lettere maiuscole e minuscole, le cifre da 0 a 9 e qualche carattere speciale (es.: punto, trattino e trattino basso), possiamo scegliere tra 26 + 26 + 10 + 3 = 65 caratteri. Supponiamo ancora che il primo carattere non possa essere il punto.
Bene, le possibili combinazioni di 8 caratteri sono: 64 x 65 x 65 x ... x 65 (8 fattori in tutto) = 313.742.585.000.000.
Sembra un'enormità, ma occorre tener conto di due fattori.

Il primo lo riporta un articolo di CNN-Technology, che a sua volta riprende uno studio del Georgia Tech Research Institute: lo sviluppo dei video giochi ha portato a produrre schede per il calcolo grafico con una potenza di calcolo di 1 Tera-Flops, impensabile solo 10 anni fa. Quanto vale 1 Tera-Flops? semplice: 1.000.000.000.000 di operazioni al secondo. Se bastasse una sola operazione per verificare una password, saremmo a 313 secondi per provarle tutte. Non è così, ma non serve molto di più.

Il secondo fattore è che il programma utilizzato dal malintenzionato organizza le possibili password in una sorta di vocabolario, con in cima le combinazioni più ovvie, accorciando quindi ulteriormente il tempo necessario in media.

Il Georgia Tech Research Institute suggerisce allora di utilizzare password più lunghe. Portando i nostri 8 caratteri a 12, ad esempio, si arriva a 5.600.501.231.365.620.000.000 combinazioni possibili, il che porta i 313 secondi di prima a 177 anni.

Piccolo problema: le parole di almeno 12 caratteri non ovvie non sono poi tantissime. Meglio allora ricorrere alle frasi: "bastapassword", ad esempio ha già 13 caratteri. Basterà sistemare qualche maiuscola e convertire qualche lettera in numero (es.: baStapaSSw0rd), per avere una combinazione sufficientemente complicata ma ancora semplice da ricordare.
Però non usate proprio questa! È possibile che, una volta pubblicata come possibile password, finisca nel famoso vocabolario.

Naturalmente vale il solito suggerimento di non utilizzare combinazioni ovvie, tipo: porzioni dell'account, nomi propri di persona, colori.
Date un'occhiata all'immagine: riporta alcune delle combinazioni che Twitter rifiuta come password. Brillano: "password", "password1", "password12" e "password123". Ma anche: "qwertyui" (da dove arriva?), "toyota" e "mercedes". Per non dimenticare "jennifer", "samantha" e "sexsex".

Buona domenica.

[Tutti i post su webberie.]

Trackback: 0 - Scrivi Commento - Commenti: 13

Condividi e segnala - permalink - Segnala abuso

La URL per il Trackback di questo messaggio è:
https://gold.libero.it/elaborando/trackback.php?msg=9180222

I blog che hanno inviato un Trackback a questo messaggio:

Nessun trackback

Commenti al Post:

La password? Almeno da 12 caratteri

massimocoppa il 22/08/10 alle 10:32 via WEB

grazie per averci fornito ulteriori elementi di inquietudine...

Rispondi

tanksgodisfriday il 22/08/10 alle 18:06 via WEB

Ma no, basta allungare un po' le nostre password, ed evitare quelle banali.
Altro esempio di password pericolosa: le date. Sono numeri di sei cifre (oppure 8, se si indica l'anno per esteso), ad esempio la mia data di nascita � 270652. Ma le prime quattro cifre possono assumere solo 366 configurazioni diverse, e l'arco di anni interessante arriver� al massimo a 70 anni. Quindi non pi� di 25.620 (366 x 70) configurazioni differenti.
Poco sicuro, mai usare le date, almeno non da sole.

Rispondi

peppe il 23/08/10 alle 07:09 via WEB

beh, stai descrivendo un attacco mirato a individuare la password in chiaro avendo a disposizione la password "cifrata" (un digest). solitamente gli attacchi a forza bruta non hanno a disposizione la pass cifrata, quindi il malintenzionato deve provare le varie pass del dizionario sul sistema di autenticazione del servizio, che dovrebbe ragionevolmente disabilitare automaticamente l'account dopo un certo numero di tentativi falliti. un consiglio che mi sembra importante e' di configurare il browser a comunicare con la pagina di autenticazione in https. Libero lo fa di default. con altri bisogna scegliere esplicitamente. per esempio hotmail.com ha un link "Use enhanced security (SSL) / Usa protezione avanzata (SSL)" in fondo alla pagina per decidere il tipo di accesso (una volta per tutte: il tipo di autenticazione viene scritto in un cookie). ciao peppe

Rispondi

tanksgodisfriday il 23/08/10 alle 08:52 via WEB

Hai perfettamente ragione, � impraticabile provare in linea tutte le combinazioni possibili di 8 caratteri. Il rischio maggiore rimane legato ancora all'ovviet� della password.
Direi che non guasta, allora, passare ad almeno 12 caratteri, giocando su "MAIU-minu-scole" e "c1fr3--v4r1e" :-)))
p.

Rispondi

an520 il 23/08/10 alle 10:01 via WEB

grazie,PASQUALE,da quel ke dici deduco ke la mia me la rubano,se vogliono.. ma per ora non � successo..8 cifre le ha...

Rispondi

tanksgodisfriday il 23/08/10 alle 10:40 via WEB

Anche se non � poi cos� semplice rubarla, meglio cambiarla con una un po' meno ovvia.
E poi � meglio non lasciare indizi!

Rispondi

Mario il 23/08/10 alle 11:03 via WEB

Meglio anche aggiungere dei segni di punteggiatura, per rendere la password pi� difficile da indovinare.

Rispondi

tanksgodisfriday il 23/08/10 alle 11:13 via WEB

Si!

Rispondi

elena.sidoli0 il 27/08/10 alle 14:16 via WEB

ti hanno linkato sulla hp di Libero! complimenti!! :-)

Rispondi

maulinux il 27/08/10 alle 14:38 via WEB

C'� il fattore tempo, che rende la vita un po' pi� complicata agli hacker e ci fa stare un po' pi� tranquilli. Mi spiego meglio: � improbabile che un sistema consenta di sbagliare cos� tante volte la password in un periodo cos� breve di tempo. Supponendo che sia consentito sbagliare la password 10.000 volte al giorno, l'hacker dovrebbe attendere il giorno successivo per fare altri 10.000 tentativi. Servirebbero 31.374.258.500 giorni per tovare la password (sperando che non venga mai cambiata nel frattempo!) Tempo fa si trovava facilmente in rete qualche programmino con gi� un dizionario di parole incluso...

Rispondi

Bimbo74 il 27/08/10 alle 16:26 via WEB

A titolo info questa password "cassata" da Twitter "qwertyui" (da dove arriva?) sono semplicemente le prime 8 lettere in alto a sinistra di una tastiera "qwerty" appunto ;-)

Rispondi

franci il 29/08/10 alle 19:16 via WEB

una password di quindici lettere quanto tempo impiegherebbe un PC per scoprirla?

Rispondi

tanksgodisfriday il 30/08/10 alle 07:42 via WEB

Con le stesse premesse scritte nel post (65 caratteri possibili per ogni posizione, 64 per la prima, scheda grafica da 1 Tera-Flops, una sola operazione per ogni combinazione), ci verrebbe la bellezza di 48.770.854 di anni.
Sempre che la password non sia:
- 111111111111111, oppure
- 123456789012345, oppure
- aaaaaaaaaaaaaaa, o roba cos�,
perch� in questo caso basta molto, ma molto meno.
Il punto �: password non banali e abbastanza lunghe, senza esagerare in lunghezza e originalit� :-)

Rispondi

Gli Ospiti sono gli utenti non iscritti alla Community di Libero.

Nuovo commento