Electronet area documenti. Audio e videosorveglianza, localizzazione GPS, sicurezza, prodotti per l'investigazione.

I livelli di performance raggiunti dai sistemi per il recupero delle password sono ragguardevoli. Un primo salto qualitativo è avvenuto dopo il 2000, quando primarie software house hanno iniziato lo sviluppo di applicativi sofisticati, affidabili e soprattutto veloci. Precedentemente quasi tutti i software per il recupero delle password provenivano dal mondo "hacker". Un secondo impulso è giunto dopo il 2007-2008, quando i processori di alto livello delle schede grafiche dei PC hanno raggiunto velocità di calcolo matematico decine di volte superiori ad una buona CPU e sono state affinate le tecniche per sfruttare tutta questa potenza. L'argomento password è divenuto di particolare attualità anche stante l'enorme diffusione delle reti WiFi (o WLan), intrinsecamente molto insicure.

Le password sono ormai talmente presenti nel mondo informatico che da tempo è sorto il problema di come custodirle in maniera sicura. Le soluzioni sono molto diverse, talvolta creative. Per i meno esigenti sono nati appositi programmi (es. "GATOR") che le raccolgono in blocco. Altri scelgono di usare sempre la stessa password in qualsiasi caso: questa soluzione è da evitare e i motivi sono evidenti. Altra soluzione diffusa quanto rischiosa è quella di raccoglierle nel telefonino, magari mascherate in qualche modo o criptate con appositi applicativi per cellulari Symbian. C'è chi le archivia in piccole memorie di ultima generazione (es. microSD card o chiavette USB) usando files criptati o dischi virtuali criptati. Altri ancora sfruttano oggetti che in realtà sono nati per scopi diversi, e per questo possono essere insospettabili o quasi; nonostante la grande diffusione ad esempio di macchine fotografiche digitali, registratori e microregistratori digitali, ecc. non tutti hanno presente tali oggetti possono consentire anche l'archiviazione di normali files (es. un file criptato contenente le password, un documento di Word, il setup di un programma, ecc.) e continuare a funzionare regolarmente.
Chi viaggia molto talvolta ha le "idee" più originali: si possono memorizzare file criptati contenenti documenti e password non nel proprio PC o in altri oggetti al seguito, bensì in un server di posta elettronica pubblico (magari salvato come allegato ad una bozza di email che non verrà mai spedita in una casella di posta elettronica del tutto anonima). Altre persone spesso in viaggio scelgono di depositare documenti e/o password sotto forma di files criptati in spazi Web, scaricandoli tramite FTP solo quando necessitano. Recentemente abbiamo appreso di una tecnica che potrebbe far invidia ai migliori 007 professionisti: le password criptate erano introdotte in una comunissima foto .JPG usata come sfondo nel telefonino (steganografia). All'apparenza quindi nulla di più di una comune e insospettabile foto nel telefonino. Quando servivano le password bastava connettere il telefonino al PC portatile via bluetooth e il gioco era fatto. In un altro caso, dopo aver già subito episodi di spionaggio industriale, qualcuno spesso in viaggio ha preso la "sana" abitudine di conservare documenti, dati e password criptati in una micro SD card appositamente protetta e cucita nella cintura dei pantaloni. Spazio dunque alle necessità, ma anche alla fantasia!

1) Se l'algoritmo di criptazione della password è conosciuto: il programma di recupero si limiterà a decifrarla in pochi istanti (decodifica con visualizzazione in chiaro). L'esempio tipico sono le numerose password relative al sistema operativo Windows, le quali normalmente vengono visualizzate con sequenze di asterischi. Esistono decine di programmi utili allo scopo, quasi tutti eseguibili in maniera semplice e rapida e facilmente reperibili.

2) L'algoritmo di criptazione della password non è conosciuto: taluni software di recupero lanciano una procedura detta "dictionary attack"; in pratica vengono provate decine di migliaia di combinazioni attingendo parola per parola da un enorme file database contenente un dizionario, cioè contenente buona parte dei termini conosciuti in una o più lingue. Questo tipo di attacco è in genere relativamente rapido (anche pochi minuti o qualche ora) ma è completamente inutile nel caso di password articolate con sequenze alfanumeriche pseudocasuali. Chi utilizza password come "sole" "bottiglia" "orange" è ad altissimo rischio. Chi utilizza invece password come "xC23u*4bkh_D36o" (senz'altro poco memorizzabili ma efficaci!) non consentirà a questo tipo di routine di avere alcuna possibilità di successo.

3) La chiave di criptazione della password non è conosciuta: molti dei software di cui al punto due includono anche una routine detta "brute force attack"; vengono cioè esaminate passo-passo miliardi di combinazioni possibili. La velocità di elaborazione dipende dalla qualità del programma utilizzato, dal tipo di file protetto dalla password, dalla velocità del processore impiegato e, ovviamente, dalla lunghezza della password. Questo tipo di attacco ha quasi sempre successo per password di qualsiasi tipo fino a 5/6 caratteri, ma richiede una quantità di tempo esponenzialmente superiore. Ipotizziamo ad esempio una procedura "brute force" applicata ad una password completamente sconosciuta di WINZIP con un programma di tipo professionale e l'utilizzo di una CPU Pentium 2Ghz: se la password è composta da una sequenza di soli quattro caratteri/numeri verrà trovata in pochi secondi, qualunque carattere essa contenga, mentre una password di sei caratteri (n.b. appena 2 caratteri in più) richiederà una giornata di elaborazione continua. Decisamente peggio per 7 caratteri: un solo carattere in più può dilatare i tempi fino a un paio di mesi di elaborazione continua. In questo caso infatti le combinazioni possibili salgono fino a 7e+13 (miliardi di miliardi di possibili combinazioni).
Proseguendo nell'esempio, una password completamente sconosciuta di 63 caratteri attaccata con questo sistema richiederebbe nella migliore delle ipotesi 10 anni di elaborazioni sfruttando reti di computer particolarmente potenti (per un solo PC parliamo di migliaia di anni di lavoro).

4) Phishing, ovvero quell'insieme di strategie e trucchi per indurre un utente a rilasciare username e password, soprattutto in riferimento ai servizi di remote banking. Per approfondire cliccare qui.

5) Il software che richiede la password può (limitatamente ad alcuni casi) essere disassemblato da hackers e crackers allo scopo di by-passare la richiesta. Ovviamente non è cosa alla portata di tutti e non è un principio valido per qualsiasi applicativo.

Ovviamente, come spesso succede per questo genere di argomenti, gli stessi strumenti che aiutano i veri smemorati delle password possono anche essere utilizzati per agire all'insaputa di qualcuno. La responsabilità dell'impiego corretto resta come al solito in capo all'utilizzatore.

1) Le passwords legate al sistema operativo windows offrono un livello di sicurezza minimo. A poco può servire anche abbondare con caratteri o numeri (punto 1 sopra) perchè spesso sono noti gli algoritmi di criptazione. Evitare di affidare a Windows qualsiasi password. Sempre meglio digitarla ogni volta che serve, con le funzioni di "memorizzazione automatica" disabilitate. L'algoritmo inizialmente utilizzato dai programmatori Microsoft per proteggere il file .pwl contenente le password era l'RC4, considerato piuttosto scadente già all'origine. Successivamente, non si sa se per errori di programmazione o cosa, sembra che tale algoritmo sia stato ulteriormente indebolito.

2) Nel caso di password di cui non è conosciuta la chiave di decriptazione (punti 2 e 3 sopra) è importante scegliere la giusta strategia per contrastare attacchi di categoria "brute force" e "dictionary"; in particolare:

a) Mai scendere sotto gli 8 caratteri.
b) Non utilizzare password "banali" dal punto di vista della ricerca, in particolare evitare con accuratezza tutte le parole e le desinenze che possono trovarsi in un vocabolario di qualsiasi lingua, es. "sole", "internet", "keyboard", "massimo", ecc. Una piccola curiosità: secondo una rivista americana di informatica la password più gettonata dai profani (ma non solo loro!) è..... "admin". Segue il proprio nome (o cognome) di battesimo, la data di nascita, il nome di un familiare o di un animale domestico o il nome dell'azienda. Ma è nella lista delle top ten c'è anche una password denominata per l'appunto "password". Non lamentiamoci poi se la posta viene sbirciata o se il sito viene violato.
c) Le "FAMOUS FIVE", cinque semplici regole per creare e gestire le password: 1 LETTERE MINUSCOLE - 2 LETTERE MAIUSCOLE, 3 NUMERI, 4 CARATTERI SPECIALI AMMESSI, 5 PUNTEGGIATURA AMMESSA.

3) Variare periodicamente le password, soprattutto quelle depositate presso il provider Internet (siti web, posta elettronica, ecc.) e quelle delle reti WLan.

4) Non utilizzare la stessa password per proteggere più accessi o files diversi. E' un espediente estremamente diffuso che aiuta la memoria, ma non la sicurezza. Al limite utilizzare sempre la stessa desinenza (es. i primi 5-6 caratteri uguali) e variare solo gli ultimi tre-quattro.

1 - Password totalmente insicura:
admin
Rischio altissimo.

2 - Password molto insicura:
stampa
Rischio alto.

3 - Password poco sicura:
art12098
Rischio medio.

4 - Password abbastanza sicura:
1k5w619
Rischio basso.

5 - Password molto sicura:
LqA_9u6A*hADzNc
Rischio molto basso.

6 - Password 63 caratteri (è considerata a livello accademico la password matematicamente inattaccabile per eccellenza, ma evidentemente assai poco pratica e non accettata dalla maggior parte degli applicativi):
JnP39bh5PT*6E42yGFIbZQ0TZub3mnrj8_zuU1Hi3aqu7PSUxozYtwiTafmZPS5
Rischio pressochè nullo.

A titolo di esempio notare che la terza e la quarta password presentano la stessa lunghezza ma livelli di sicurezza diversi: ciò è dovuto alla presenza della parola "art" nella terza password, quindi è potenzialmente più vulnerabile.