Ultimate Force
Se un attacco a dizionario fallisce, la fase successiva è la vera forza bruta (brute force attack), necessaria per decifrare le password che non sono né comuni né nel dizionario utilizzato dall’attaccante.
A questo punto, l’hacker ha bisogno di molte risorse (anche a livello di hardware).
Un hacker probabilmente non farà questo sforzo senza una forte motivazione perché il tempo e le risorse informatiche necessarie possono essere molto costosi.
Tuttavia, tale sforzo è possibile.
Un normale computer non è adeguato in questa fase.
Gli hacker costruiscono computer speciali in grado di eseguire algoritmi di hash a velocità molto elevate.
I processori grafici (schede video) sono più performanti e adatti a questo scopo.
Il calcolo del prossimo set di pixel da visualizzare per un soggetto ad alta risoluzione e in rapido movimento richiede capacità di calcolo simili a quelle che servono per la previsione dell’hash di una stringa arbitraria di caratteri.
I computer per la violazione di password utilizzano molti processori grafici in serie per elaborare le probabili password molto rapidamente.
Ad esempio, un calcolatore che utilizza 25 processori grafici può eseguire circa 63 miliardi di ipotesi al secondo.
Se questo computer specializzato dovesse testare le 10000 password popolari, finirebbe in due milionesimi di secondo.
Un normale dictionary attack richiederebbe comunque meno di un secondo con questi strumenti.
Il brute force di una password casuale, che non è presente nei casi banali di scelta di una password o che non è soggetto a un attacco a dizionario, è regolato da semplici regole matematiche.
La tabella seguente mostra i numeri per un semplice esempio.
Il set di caratteri della password è comune: cifre, lettere minuscole e maiuscole e alcuni simboli speciali.
Complessivamente, ci sono 64 possibili caratteri utilizzabili.
Per una password di un singolo carattere, ci sono 64 possibilità. Per le password di due caratteri, per ogni possibile primo carattere, ci sono 64 possibili secondi caratteri.
Con ogni carattere aggiunto, il numero di possibilità viene moltiplicato per 64.
Il numero di possibilità aumenta rapidamente.
La tabella mostra che una password di 5 caratteri ha oltre un trilione di possibilità.
Il numero può sembrare formidabile, ma un computer in grado di calcolare 63 miliardi di combinazioni al secondo, può provare tutti i caratteri in meno di un secondo e scovare molto semplicemente la password.
|
Lunghezza della password (caratteri) |
Possibili combinazioni |
Secondi |
Minuti |
Giorni |
Anni |
|
1 |
64 |
>1 |
|||
|
2 |
4096 |
>1 |
|||
|
3 |
262144 |
>1 |
|||
|
4 |
16777216 |
>1 |
|||
|
5 |
1,07*109 |
>1 |
|||
|
6 |
6,87*1010 |
1,1 |
|||
|
7 |
4,40*1012 |
69,8 |
1,2 |
||
|
8 |
2,81*1014 |
74,5 |
0,1 |
||
|
9 |
1,80*1016 |
3,3 |
|||
|
10 |
1,15*1018 |
211,8 |
0,6 |
||
|
11 |
7,38*1019 |
37 |
|||
|
12 |
4,72*1021 |
2.375 |
|||
|
13 |
3,02*1023 |
158.018 |
|||
|
14 |
1,93*1025 |
9.729.155 |
Scorrendo la tabella, una password di 7 caratteri richiederà poco più di un minuto, ma una password di 14 caratteri richiederà circa dieci milioni di anni (sempre considerando un calcolatore capace di processare 63 miliardi di combinazioni al secondo).
In breve, una password formata da più caratteri è sicuramente migliore.
Le eccezioni sono i casi in cui la password (anche se lunga abbastanza) sia una password banale (es. “1234567”, “password123” ecc.) o sia una password presente sul dizionario in possesso dell’attaccante.
Dalla tabella possiamo notare che una password di 10 caratteri può essere considerata abbastanza sicura.
Nessun hacker sarebbe disposto ad aspettare 200 giorni per decifrare una password.
Poiché i calcolatori sono destinati a diventare sempre più veloci, una password di 12 caratteri sarebbe una scelta più idonea e ragionevolmente più sicura.
Questa tabella mette in evidenza un aspetto importante della robustezza della password.
La forza di una password dipende dal set di caratteri che l’hacker pensa che il suo obiettivo abbia usato, non dal set di caratteri nella password.
La lunghezza della password determina la probabilità che la password venga decifrata, non la combinazione di caratteri nella password.
Se la password non rientra nel guessing attack e in un dictionary attack, una password di 12 caratteri tutti minuscoli richiederebbe comunque molto tempo per essere decifrata.
Raggruppare combinazioni di parole casuali in password lunghe (passphrase) può essere una soluzione facile da ricordare per gli utenti legittimi e abbastanza robusta da non rappresentare una vulnerabilità.
