Quanto è sicura una password? Facciamo due conti!

Giulio_M

Si sente parlare spesso dell'importanza di avere password sicure, "difficili da indovinare" sia per un essere umano che per un algoritmo.

Prima considerazione: tralasciando errori umani e disattenzioni che si commentano da sole (del tipo, scrivo la password su un postit e lo attacco al bordo dello schermo oppure sotto la tastiera, che non lo troverà mai nessuno... oppure sul desktop un bel file di testo chiamato "password", che bella comodità! Sia per noi sia per chi ce le vuole rubare, sia chiaro!!!), abbiamo (uso termini semplici, per capire) password casuali (che poi approfondiamo) e password non casuali (data di nascita, nome del cane + 12345, squadra di calcio, ecc).

Come viene scoperta una password? tralasciando appunto errori stupidi o varie vulnerabilità di sistema, attività che rientrano in un precedente attacco di phishing ecc, ragioniamo solo sul fatto di tentare di indovinare una password, per tentativi:

metodi Brute Force: proviamo tutte le combinazioni in modo casuale (poi lo quantifichiamo bene e vediamo perché occorre cercare di rientrare in questo)
metodi a dizionario: di fatto esistono database, dizionari (chi pratica e si interessa di hacking, sa bene di cosa parlo e li trova da scaricare, uniti ad appositi tool) che contengono un'enorme lista di "possibili password", attenzione, anche con "modificatori" ad esempio anziché Juventus può essere Juv3ntus oppure Juv3ntu5 (giusto per far capire il concetto) e poi varie combinazioni es. aggiungere 123, 1234, 12345 ecc. Un dizionario di questo genere sembra contenere una lista enorme di termini (di fatto, è così) ma per grande che sia, dal punto di vista computazionale non sarà MAI al livello del Brute Force, che è un "tentativo disperato" di indovinare la password; infatti con i metodi a dizionario, solitamente il tentativo dopo un po' di tempo (variabile, ovviamente) va a buon fine

Cerchiamo adesso di quantificare la cosa, per una strategia di tipo Brute Force (quindi password casuali, non la data di nascita o nome del cane!): chiamiamo X il numero di caratteri possibili, N la lunghezza.

solo numeri: 10^N
solo lettere minuscole: 26^N
lettere minuscole + numeri (password no-case-sensitive): 36^N
lettere minuscole + lettere maiuscole + numeri: 62^N
lettere minuscole + lettere maiuscole + numeri + caratteri speciali (diciamo, circa una decina): 72^N

Il livello di sicurezza dell'ultima password è pazzesco, non so se comprendete l'andamento esponenziale con N. Ok, facciamo due conti (l'ho detto anche nel titolo 😁 ):

N=5: circa 2 * 10⁹, due miliardi di combinazioni
N=8: quasi 10¹⁵ combinazioni
N=10: circa 10^18.5 combinazioni
N=16: circa 10^29.7 combinazioni
N=24: circa 10^44.5 combinazioni

Oltre un certo livello non avrebbe nemmeno più senso andare; analogamente alla crittografia di hash, con SHA-256 che essendo ogni bit 0-1 si ottiene un valore pari a 2²⁵⁶ combinazioni totali, ovvero circa 1,15 * 10⁷⁷ combinazioni (10⁹ è un miliardo, giusto per dire...). Per non parlare poi della crittografia quantistica, che, senza entrare nei dettagli, varia con N^N grazie alla proprietà del qubit.
Oltre un certo livello di sicurezza della password infatti, essendo di tipo random e quindi NON individuabile tramite dizionari (importante!!!), un possibile tentativo Brute Force con le risorse attualmente disponibili, richiederebbe un tempo medio superiore all'età dell'universo! Quindi direi che non serve andare oltre 🙂

Dopo aver fatto questi conti, se quindi avete ben capito:

password = data di nascita o animale domestico, magari aggiungo 123
per non dimenticarla, la scrivo su foglietti che attacco ovunque e sul desktop un file di testo chiamato "password"
rileggo tutto da capo e presto attenzione 🙂

Infine un'immagine, indicativa, che rende l'idea ("qt years" dovrebbe indicare un miliardo di miliardi di anni, ma anche semplicemente 193 "tn years" indica 193 mila miliardi di anni! Può bastare? 😃):
sicurezza password esempi

MeControTe

Giulio_M io ad esempio per alcuni siti ho scritto cose a caso tipo CAccaCAz.z01230.._
Oppure la faccio consigliare da google

MeControTe

Giulio_M esiste anche un sito che analizza la sicurezza di una password dicendoti appunto quanti anni servirebbero a decodificarla

Paride754

Giulio_M per quanto riguarda il brute force, la indovini solo se conosci benissimo il target ed se la password è soprattutto facile da indovinare es: ciaone123, nomi dei figli ecc… anche se come attacco fa parecchio casino…
Il secondo attacco invece, non devi conoscere il target, ma anche qui indovini la password, solo se ha password facili. Diciamocela tutta… tutti hanno password scritte da qualche parte, protette, ma comunque scritte.
Dio benedica l’mfa. Peccato che non tutti sanno cosa sia

user6876

Giulio_M Ciao Giulio. Buonasera.
In merito alle password utilizzate per protezione dati da eventuali attacchi cybernetici, penso che le uniche password (o codici di attivazione) da utilizzare, siano quelle con caratteri indecifrabili. Mi ricordo le tipiche "scritture" aliene nella saga tv "Visitors", dove gli alieni comunicavano tra di loro utilizzando una forma di scrittura molto ricca di simbolismi. Penso che se si riuscissero a convertirli in caratteri normali, gli hacker non avrebbero vita facile. Oppure quei caratteri stranissimi utilizzati in molti film a tema "nucleare", per armare le bombe e i missili. E chi le troverebbe?

Giulio_M

MeControTe sì certo, lo avevo trovato; è un po' approssimativo, dipende da più fattori. È più efficace invece fare questo conto (esatto):
Tempo atteso = combinazioni totali / key_per_second

Per tempo atteso si intende il tempo per coprire il TOTALE delle combinazioni. Ovvio che la tua potrebbe essere per assurdo la prima combinazione o l'ultima, si tratta quindi di probabilità. Prendendo la metà di questo tempo ottenuto (dato il numero totale di combinazioni e il key_per_second), avrai una probabilità del 50% di aver trovato la password nel tempo indicato. Facendo invece titte le combinazioni, hai la certezza (se nel frattempo non cambia password... Ahah, si potrebbe considerare anche questo 😃)

Paride754 ovviamente, l'autenticazione a due fattori è sempre una sicurezza in più; in realtà esistono modi per "aggirarla"(Browser in The Middle, ecc), che fondamentalmente si basano sul phishing. Importante da capire: al giorno d'oggi gli algoritmi sono sempre più intelligenti e gli esseri umani sempre più stupidi. Quindi come faccio a rubare dati? Provo a fregare l'utente, non l'algoritmo! Tragica realtà che dimostra infatti (su larga scala) l'efficacia del phishing e degli attacchi basati sulla social engineering.

Una Pallottola Spuntata ahah divertente la storia di tuo cugino 😃 per il resto, ovviamente concordo, Cloud e software in genere non sono le soluzioni più sicure; specie se poi la password in qualche modo ha a che fare con lo stesso ambiente! Il PIN del bancomat non lo scriveresti sulla tessera (anche se sarebbe comodo, non credi?), ecco, la ragione è la stessa! Discorso che volendo si può anche generalizzare, ad esempio nel mondo delle criptovalute, scegliere un Cold Wallet (dispositivo hardware oppure la keynscritta su carta, non nel PC o peggio ancora online) al posto di un Hot Wallet (soluzioni software integrate... Comode ma meno sicure, specie se non ne conosciamo esattamente il funzionamento).

GrimoireMononokheart certo, hai perfettamente ragione. Dipende ovviamente dal sistema, se dispone di controlli extra (se si tratta di un server, accesso ad un account, oggi quasi sempre è così); quindi appunto delay o blocco totale dopo X tentativi. Sono considerazioni infatti più che altro teoriche sul Brute Force (in assenza quindi di altri fattori limitanti).

user6876 beh, la questione sarebbe molto, davvero MOLTO interessante! Anzi mi dai uno spunto incredibile e ci penserò! 🙂 Comunque, lo quantifico in breve: anziché un testo da comporre, hai un pannello bianco, di fatto una griglia, una matrice; ogni pixel può essere nero o bianco (se anzi accettiamo anche un certo numero di colori, le combinazioni aumentano esponenzialmente essendo X^N anziché 2^N); senza esagerare con la risoluzione (devi poi scrivere il simbolo sui pixel corretti!!) il numero di combinazioni possibili sarebbe dato da 2^Nx+Ny. Se poi come ho detto accettiamo anche qualche colore, es. oltre a B/N anche rosso, verde, blu, abbiamo già 5^Nx+Ny... A dir poco pazzesco!
Poi come abbiamo già detto,oltre un certo livello sono considerazioni teoriche (parliamo forse di supercomputer quantistici del futuro??), comunque interessante.
NB: l'esempio che ho fatto della matrice con B/N, è l'analogo delle funzioni crittografiche di hash (appunto le cui combinazioni totali viariano con 2^N), con la differenza che una creazione su base grafica può essere decisamente più semplice per l'utente proprietario della password (pensi di ricordare a memoria 0100010101... con magari 512 cifre?).

Una Pallottola Spuntata

io ho sempre usato password semplici e nessuno mi ha mai rubato niente, mentre mio cugino che è paranoico una volta ha perso un account perchè si era inventato una password talmente difficile che poi in fin dei conti lui stesso aveva dimenticato perdendo tutti i dati perchè non aveva inserito un metodo di recupero account alternativo 🤣
Secondo il mio modesto parere un modo sicuro per non farsi fregare le password da nessuno è non salvarle nel browser ,cancellare sempre cronologia e login automatico con password salvate.In questo modo non si lasciano mai tracce della propria privacy di navigazione.
Memorizzare le password nel browser a lungo termine per avere un accesso rapido secondo me è pericoloso ,mai fidarsi di nessuno!
almenochè non si tratta di un account poco rilevante allora in quel caso ci può anche stare.

Armoniabiricchina attenzione sono sensibile

Bisogna essere furbi per creare una password

GrimoireMononokheart

Quell'immagine con quei dati sembra spaventosa però sono dati "ad effetto" per così dire è un immagine "tendenziosa".
Perché è mirata a supportare una tesi che è quella di spingere ad impegnarsi maggiormente nel creare password lunghe e complesse sempre e comunque.
Però omette il fatto che quei dati sono "irrealistici" ma sono dati rilevati in una situazione che nella realtà non si verifica mai:

Vale a dire.. quello è il tempo che ci metterebbe il metodo brute force, ad indovinare una password in un ipotetica situazione di applicazione che consente di fare tentativi continui ed istantanei di accesso (inserimento immediato e tentativo di accesso con risposta negativa o positiva che sia).

Peccato che questa situazione sia solo teorica.. non abbia fondamento con la realtà (e consenguentemente nemmeno quei dati spaventosi). Perché nessuna tipo di "accesso" protetto da password, applicazione..form di un sito web...(di qualsiasi cosa si tratti) consente né di fare tentativi di accesso ripetuti immediatamente l'uno dopo l'altro (senza un delay diciamo).
Né di farne oltre un certo numero di errati. Alla luce di questo... tutto cambia di parecchio.

Questi dati sono quelli che si ricavano per esempio creando un applicazione allo scopo di testare il metodo brute force.. però poi nella realtà... nessuno consente quel tipo di interazione del tipo:

D: La pass è 00?
R: no
D: La pass è 000?
R: no
La pass è 0000?
R: no
[...]
La pass è 000000?
R: no
La pass è 0000000?
R: no
[...]
Eseguiti in meno di 1 millisecondo

Nella realtà l'interazione potrebbe divare qualcosa del tipo:
D: La pass è 00?
R: no
D: La pass è 000?
R: Non puoi eseguire una richiesta di accesso così in prossimità di quella precedente.
D: La pass è 000?
R: Non puoi eseguire una richiesta di accesso così in prossimità di quella precedente.
D: La pass è 000?
R: Non puoi eseguire una richiesta di accesso così in prossimità di quella precedente.
D: La pass è 000?
R: Non puoi eseguire una richiesta di accesso così in prossimità di quella precedente.
D: La pass è 000?
R: Non puoi eseguire una richiesta di accesso così in prossimità di quella precedente.
D: La pass è 000?
R: Non puoi eseguire una richiesta di accesso così in prossimità di quella precedente.
D: La pass è 000?
R: Non puoi eseguire una richiesta di accesso così in prossimità di quella precedente.
D: La pass è 000?
R:No.
D: La pass è 0000?
BOT bloccato. Fine del gioco (perché tentativi continui di accesso eseguiti troppo in prossimità di quello sopra, a velocità (o altri elementi come la sistematicità) che indica il fatto che tale richiesta di accesso è inviata da un programma e non da un umano)

Devo dire al programma di aspettare 10 secondi fra un tentativo di accesso e l'altro? Ok. Glielo dico.
Forse non verrà rivelato come BOT (forse)... ma questo allungherà il ritrovamento della password anche molto semplice e di 3 caratteri dall' "immediato" ad : un eternità!

user6876

Giulio_M Ti ringrazio.
Ho sempre pensato che per proteggere i propri dati e dispositivi ad alto tasso di rischio HACKING, occorrano, oltre che personali codici con una decodificazione strettamente personale, anche un sistema a doppia chiave d'accesso. Per capirci, password che cambiano ogni mezz'ora utilizzando sia caratteri speciali che numeri. Fantascienza "Orwelliana", per noi. Lo so.

Brian

Giulio_M Ora ho iniziato ad usare il generatore di password integrato in Safari, prima utilizzavo come password tutte parole senza significato che mi inventavo assieme a qualche numero per condire il tutto; fortunatamente non mi hanno mai rubato nemmeno mezza password.

Lamantino

Se è così difficile azzeccare 6 numeri al SuperEnalotto, le mie password, non logiche, di 16 o 18 caratteri semplici, speciali e numeri, a livello combinatorio, dovrebbero essere inindividuabili.