Sicurezza

Antivirus Spam Carte di Credito Password

Attacco a Forza Bruta

Come si fa ad indovinare una password

Attacco a Forza Bruta: Scoprire una password

Indovinare o scoprire...

Attacco a forza bruta

L'attacco a forza bruta entra in gioco quando l'attacco a dizionario non ha funzionato. In questo caso il computer prova tutte le combinazioni ottenuti combinando

  • 26 lettere minuscole (abcdefghijklmnopqrstuvwyxz)
  • 26 lettere maiuscole (ABCDEFGHIJKLMNOPQESTUVWYXZ)
  • 32 caratteri speciali (!"£$%&/()*@....)
  • 10 numeri (1234567890)

Il computer proverà tutte le possibili combinazioni di lettere, caratteri speciali e numeri finché non troverà la combinazione giusta. Il tempo dipende dalla velocità di calcolo del computer e la lunghezza della password (quanti caratteri sono stati utilizzati).Con un anno a disposizione, un computer abbastanza potete potrebbe scoprire una password come rejhHUG3Gt&6ffR



 

Al giorno d'oggi non si può sottovalutare la scelta di una passowrd.
Dietro ad ogni password, nel 2007, sono ormai custoditi la maggior parte dei nostri segreti: le email, gli amori, le nostre foto, i nostri contatti, i numeri di telefono, i nostri soldi...tutto.

Vogliamo tenere tutti i nostri segreti nascosti dietro al nome del nostro gatto?

Come vengono scoperte le password?
# Brute Force
# Attacco a Dizionario
# Attacco all'Algoritmo
# Password Sniffing

Nel primo caso, il cosiddetto attacco a forza bruta, un apposito programma informatico “spara” ad altissima velocità tutte le possibili combinazioni di chiavi per decrittare il file protetto;. L'attacco a forza bruta, teoricamente, può “rompere” qualunque algoritmo (e si tratta quindi del tipo di attacco più efficace in assoluto)… ma data la tempistica necessaria in caso di lunghezze eccessive, è anche il meno pragmatico: richiedendo anche migliaia di anni per rompere le cifrature più forti, è il tipo di attacco più inefficiente.

L'Attacco “a Dizionario” è una variante dell'attacco a forza bruta, ma molto più efficiente. Vi ricordate il discorso fatto nella sezione dedicata alla scelta di una buona password ? Come abbiamo detto, la stragrande maggioranza degli utenti scegli password brevi e semplici: solitamente nomi propri (del figlio o della fidanzata), o parole elementari (quando non ridicole, tipo “password”). Partendo da questa consapevolezza, sono stati costruiti dei “dizionari”, ovvero dei lunghissimi elenchi di parole, nomi e sigle di uso comune in una data lingua. Un apposito software “sparerà” come tentativi di password l'intero elenco di parole contenute nel dizionario; nella maggior parte dei casi di utenti “sprovveduti”, la password viene trovata in un tempo infinitamente inferiore a quello necessario ad un attacco a forza bruta. Se il dizionario dovesse essere esaurito senza trovare la password corretta, il programma passa in modalità “forza bruta”. Ovviamente, con questo sistema “dizionario + forza bruta” si ottiene un enorme aumento di efficienza rispetto al semplice attacco a forza bruta.

L'Attacco all'Algoritmo prevede la possibilità di approfittare di particolari “debolezze matematiche o computazionali” dell'algoritmo utilizzato, soprattutto se ha una lunghezza di chiave limitata a 40 bit o meno. Il DES, che fino a 10 anni fa rappresentava lo standard internazionale per la sicurezza crittografica dei dati informatici aziendali, nonostante la cura messa nel concepirlo ha diversi difetti matematici; unito ad uno scarso numero di bit di chiave, è “sfondabile” in poche decine di minuti con un qualunque PC da tavolo prodotto negli ultimi anni. Un attacco del genere non è invece effettuabile, ad esempio, sul Triple-DES (un algoritmo basato sulla tripla reiterazione del DES, con piccole modifiche): non solo il numero di bit della lunghezza di chiave è superiore, ma anche da un punto di vista matematico “qualitativo” l'algoritmo è molto più “robusto”.

Il Password Sniffing, più che un attacco all'algoritmo è un “attacco all'utilizzatore”: si tratta di “rubare” la password (“sniffare”) con qualche trucco “psicologico” (farsela dire con una scusa, o fingendosi responsabili di un servizio assistenza clienti, o della sicurezza aziendale – questi atti vengono definiti di “ingegneria sociale”, e sono molto diffusi), oppure tecnologico (un troiano od un keysniffer installato fraudolentemente sul nostro computer, si veda la sezione apposita). Disponendo della password, si può accedere al file protetto con la stessa facilità del proprietario del documento.
Esistono anche altri tipi di attacchi, molto più sofisticati (TEMPEST, o simili), basati sulla registrazione dei microimpulsi elettromagnetici generati dalla pressione dei tasti (ed in base ai quali è poi possibile ricostruire le passwords digitate), ma come si può bene immaginare, stiamo entrando nel settore dei romanzi di spionaggio più che della prassi quotidiana.

 

* Perché le password non sono sicure
* COme si costruisce una password sicura

 

 

Ottimizzare.com / Sicurezza / Password / Scoprire una Password

Sicurezza Informatica

Rircerca

Google

Ottimizzare.com

© 2007 Ottimizzare.com - Contatti / Autore: Dr. Claudio Santori - Valid XHTML - P. Iva: 02013870429 - Template by Arcsin