mercoledì 9 dicembre 2009

Brute Force Attack & Password Tips per proteggersi dai cracker


E' capitato d'aver sentito, se non è mai capitato a voi, la classica frase "mi hanno crackato la password". Il brute force attack è un metodo di cui molti cracker ne fanno uso per crackare appunto le password e consiste nel provare vari tentativi di combinazioni di password fino a trovare quella giusta. 

Il metodo più comune è l'utilizzo di programmi Brute Force che, basandosi su alcuni indizi inseriti dall'utente (nome, cognome, data di nascita, etc., acquisiti per esempio su Facebook) o su un database di password aggiornato, tentono ripetutamente migliaia di combinazioni possibili fin quando non trovano quella esatta o esauriscono le risorse. 

Va immaginato come se prendessimo i numeri 123 e ci chiedessimo quali sono le possibili combinazioni? 123 213 321 132 etc. il programma non fa altro che effettuare questa operazione, ovviamente utilizzando o tutte le lettere dell' alfabeto o tutti i numeri o tutti i caratteri speciali ( come @#[]§°ç* etc... ) oppure sia numeri lettere e caratteri speciali. Quindi il tipo di attacco varia e a seconda della complessità della password il processo di cracking diventa più lungo. 

Questo tipo di attacco, se va a buon fine per password composte da 6 (a volte anche 7) caratteri,  richiede comunque una elevata velocità del processore e tempi di attesa piuttosto lunghi. Altri modi per ottenere le password comprendono l'ingegneria sociale, le intercettazioni, keystroke logging, phishing, utilizzando un cavallo di Troia o virus, attacchi di gestione delle identità di sistema (come l'abuso di reimpostazione password). 

Anche se questi metodi non sono considerati "password cracking" sono molto popolari tra i criminali (in particolare il phishing) e rimangono molto efficaci. Essi sono spesso considerati come la principale vulnerabilità nei sistemi di autenticazione password. Ecco alcune buone regole da seguire per creare una password "sicura" in modo da non consentire a questo tipo di attacco di avere alcuna possibilità di successo.
  1. Usate almeno otto caratteri.
  2. Non rivelate mai a nessuno la vostra password e non scrivetela mai.
  3. Non usate parole che si possono trovare nel dizionario.
  4. Non usate una password che avete già usato altrove.
  5. Non usate sequenze di tasti sulla tastiera (abcd) o sequenze di numeri (1234)
  6. Non create una password di soli numeri, di sole lettere maiuscole o di sole lettere minuscole.
  7. Includete segni di interpunzione. 
  8. Mescolate caratteri maiuscoli e minuscoli. 
  9. Includete numeri.
  10. Includete caratteri dall’apparenza simile in sostituzione di altri caratteri (ad esempio il numero zero per la lettera “O” o il carattere “$” per la lettera “S”).
  11. Non usate ripetizioni di caratteri (aa11).
  12. Non inviate mai la vostra password per email.
  13. Cambiate periodicamente la vostra password.
  14. Non digitare la password in computer sui quali non si ha il controllo
Nessuna password che si può ricordare a memoria è inviolabile. Esistono dei programmi per poter creare delle password complesse o potete aiutarvi utilizzando alcuni servizi on line di password generator, come ad esempio Generatore di password. Sul sito potrete scegliere la lunghezza della password da generare e verranno mostrate delle possibili combinazioni random.

Nessun commento:

Posta un commento