Scardinata la crittografia di 320 milioni di password

Set 04, 2017 Marco Schiaffino Gestione dati, News, Privacy, RSS, Tecnologia 1

Il gruppo CynoSure Prime ha risposto all’appello di Troy Hunt per dimostrare l’importanza di usare password diverse per ogni servizio.

Troy Hunt sarà anche un po’ fissato, ma la sua paranoia in merito all’uso delle password è più che giustificata. Il ricercatore australiano è uno degli animatori di HaveIBeenPwned, il sito che raccoglie i database con le credenziali di accesso rubati e distribuiti sul Web.

L’obiettivo del sito è quello di sensibilizzare gli utenti nei confronti dei rischi che si corrono nell’usare la stessa password per servizi Internet diversi. La logica è semplice: se i server di uno di questi servizi viene violato e i pirati si impossessano delle credenziali, avranno accesso anche a tutti gli altri per cui è stata usata la stessa password.

E visto che una delle argomentazioni che vengono opposte al ragionamento di Hunt è quella che le password sarebbero inviolabili grazie all’uso della protezione crittografica, il buon Troy ha deciso di offrire al mondo la prova che fare affidamento solo sull’inviolabilità di un sistema di protezione è un errore.

Ecco quindi che ha messo a disposizione di chiunque fosse disposto a dimostrare la sua teoria un database con 320 milioni di password crittografate (nel database non ci sono gli username collegati) raccolte nel corso degli anni da HaveIBeenPwned.

Uno dei nostri account è stato violato? HaveIBeenPwned ci permette di scoprirlo. Il problema, in alcuni casi, è ricordarsi che password avessimo usato…

Sfida accettata dal gruppo di “cracktivist” di CynoSure Prime, che manco a dirlo ha portato a termine il compito in tempi tutto sommato ragionevoli. Hunt ha pubblicato le password il 3 di agosto. Loro hanno pubblicato il post in cui spiegano come le hanno decrittate il 29 di agosto. Non male.

Come si legge nel loro report, i cracktivist (con il gruppo CynoSure Prime hanno lavorato anche il ricercatore Royce Williams e uno studente tedesco) non hanno di certo avuto vita facile. Si sono dovuti infatti confrontare con sistemi di hash diversi e, almeno in alcuni casi, anche sistemi di hashing “misti” o alterati attraverso l’inserimento di dati casuali.

Per decrittare gli hash, i ricercatori hanno usato un computer con Intel Core i7-6700K, quattro GeForce GTX 1080 e 64GB di memoria. Non proprio una sciocchezza, ma nulla che non sia possibile assemblare con una spesa non stratosferica.

Qualche dato interessante emerge anche dall’analisi statistica delle password individuate. Per esempio riguardo la loro lunghezza. La stragrande maggioranza, infatti, era composta da 8 caratteri.

Più del 30% delle password era composta da 8 caratteri. Un caso?

Il dato si può leggere in due modi, con conclusioni opposte riguardo il livello di “educazione” degli utenti. Quello ottimistico interpreta il dato sulla base del fatto che, per anni, si è raccomandato di utilizzare password lunghe almeno 8 caratteri e che gli utenti abbiano introiettato questa regola in maniera molto “rigida”.

La seconda è che la maggior parte dei servizi da cui provengono le password ponesse l’obbligo di usare almeno 8 caratteri. In questo caso dovremmo dedurre che l’utente medio ha una spiccata tendenza a fare il minimo indispensabile per andare incontro ai requisiti richiesti.

Un vizietto di cui non si può certo accusare l’utente che ha utilizzato come password la più lunga tra quelle individuate dal team. Stando a quanto dicono i ragazzi di CynoSure Prime era infatti composta dalla bellezza di 400 caratteri.

Condividi l'articolo