Seleziona una pagina
mercoledì, Ago 24

Frasi più sicure delle password? Non è detto. Il punto di F5

da Hardware Upgrade :

Selezionare password sicure, robuste e complesse è uno dei capisaldi dell’informatica, come ben sanno i lettori di Edge9. Una significativa percentuale degli attacchi informatici, infatti, passa proprio dall’utilizzo di credenziali sottratte o semplicemente “indovinate”: per un attaccante spesso basta riuscire a recuperare un accesso, anche di basso livello, alla rete da violare per poi riuscire a muoversi lateralmente e trovare il modo di ottenere maggiori privilegi all’interno dell’infrastruttura. 

Per questo motivo, sono in tanti a suggerire di non utilizzare le classiche password ma di affidarsi alle passphrase, cioè frasi composte da più parole. Ma si tratta di una strategia davvero efficace? Non sempre. Anzi, in certi casi, questo approccio può essere meno sicuro di una password generata casualmente con un numero sufficiente di caratteri. 

autenticazione-2fa

La forza di una password non dipende dalla sua complessità, ma dalla sua entropia

Per comprendere quanto una password può essere robusta ci viene incontro la matematica. Come spiega David Warburton, Principal Threat Research Evangelist (EMEA) di F5, “considerando la velocità con cui i computer moderni possono indovinare le password, si ritiene che sia necessaria una complessità di circa 2128 combinazioni per essere sicuri“.

Tradotto in pratica, significa che una tipica password da 8 caratteri non è in grado di garantire una sicurezza accettabile, dal momento che in tal caso le combinazioni possibili sarebbero 238. Aumentando i caratteri a 12 il numero di combinazioni sale a 274, ma siamo ancora molto lontani dalla “complessità” richiesta. 

Una passphrase composta da 4 parole può quindi garantire una maggiore sicurezza? In teoria sì: “se ci inventiamo una passphrase di 4 parole utilizzando solo lettere minuscole, e un set di 27 caratteri includendo lo spazio, una lunghezza della passphrase di 28 ci porta a 2728 tentativi, equivalente su base binaria a circa 2133: finalmente il numero che cercavamo!“, sottolinea Warburton. Molto, però, dipende dalle parole scelte, dato che non mancano strumenti molto potenti per hackerare anche le passphrase. Uno di questi è Hashcat, che può essere combinato con un elenco di passphrase note disponibile su GutHub (ne contiene ben 22 milioni). 

Una soluzione alternativa è generare le passphrase da passare ad Hascat usando l’algoritmo Prince, che si basa su un concetto molto semplice: secondo la legge di Zipf, infatti, tutte le lingue umane seguono grosso modo la “regola 80/20”. “Per essere precisi il 18% delle parole più comuni nella nostra lingua costituisce l’80% di tutto ciò che diciamo. Uno strumento di cracking delle password programmato con le prime 1000 parole potrebbe quindi, invece di provare ogni possibile combinazione di caratteri, limitarsi a ogni possibile combinazione di 3-5 frasi di parole nelle prime 1000 parole dizionario. Applicando tale concetto alla lingua inglese per la nostra frase di 4 parole otterremmo un numero massimo di combinazioni che equivale a meno di 260, ovvero molto peggio di una password casuale di 12 caratteri!“, prosegue Warburton. 

In pratica, è la stessa matematica a spiegare perché una passphrase non è necessariamente migliore di una password e anzi, in certi casi, può essere più facile da violare. Questo sottolinea un concetto non necessariamente intuitivo: la lunghezza di una password di per sé non è sufficiente a renderla robusta. Una password di 16 caratteri basata su una parola comune, per dire, può essere individuata velocemente usando un attacco di tipo dizionario. E questo vale anche se si utilizzano “trucchetti”, per esempio il linguaggio l33t: gli strumenti per il cracking delle password sarebbero in grado di trovarle in breve tempo. Al contrario, una parola chiave più breve, anche solo di 12 caratteri ma generata in maniera casuale, come quelle suggerite dai password manager, tende a garantire una maggiore sicurezza.

C’è anche da dire che se per la passphrase si utilizzassero anche le maiuscole, avremmo uno spazio di, 5328  , ovvero 2160 , che diventano 2167 se si tengono in considerazione anche i numeri. 

Detto questo, Warburton suggerisce sempre di generare le password via software (lo fa anche il password manager di Google, che è gratuito), non riutilizzarle mai e, soprattutto, di affidarsi all’autenticazione a più fattori (MFA), che aggiunge un ulteriore strato di sicurezza rendendo molto più difficile l’accesso anche nel caso siano state compromesse le credenziali. 

Source link