Di quanti tentativi avrebbe bisogno un hacker per indovinare la vostra password?
Potrebbe resistere a 100.000.000.000.000 di tentativi, il tipo di attacco cui potrebbe essere sottoposta nel caso in cui fosse rubata in una violazione di dati e attaccata offline su hardware specializzati?
Troppo difficile? Che ne dite di 1.000.000 tentativi? È questo il tipo di resilienza di cui una password ha bisogno per difendersi da un attacco online molto più lento contro la pagina di login di un sito web.
Ancora troppo difficile? Che ne dite allora di 100 tentativi? È questo il numero di tentativi falliti che secondo le ultime linee guida NIST (National Institute for Standards and Technology) dovrebbe attivare un lock-out:
“Salvo diversamente indicato nella descrizione di un determinato authenticator, il verifier DOVRÀ efficacemente limitare gli attacker online a 100 tentativi falliti consecutivi su un unico account in un periodo di 30 giorni.”
100 tentativi sono niente. Tutti possiamo creare una password in grado di resistere a 100 tentativi, giusto?
Forse non è così.
In base a recenti ricerche svolte in Cina e nel Regno Unito, un attacker che ha a disposizione alcune delle vostre PII (Personally Identifiable Information) ha una possibilità su cinque di scoprire la vostra password prima di superare il limite di 100 tentativi previsto dal NIST.
I ricercatori delle Università cinesi di Fujian Normal e Pechino e della Lancaster University, del Regno Unito hanno sviluppato TarGuess, un framework che punta intelligentemente agli utenti individuali in base alle informazioni personali cui un attacker può avere ragionevolmente accesso.
TarGuess-I utilizza PII quali il vostro nome e la vostra data di nascita. Secondo i ricercatori, esso può:
“…raggiungere un tasso di successo del 20% contro utenti normali con soltanto 100 tentativi, del 25% con 103 tentativi e del 50% con 106 tentativi. Questo suggerisce che la maggior parte delle password degli utenti normali è propensa a un numero ridotto di tentativi online mirati (per esempio, 100 come consentito dal NIST).”
Se siete una delle centinaia di milioni di persone i cui dati sono stati rubati in attacchi ad Adobe, Yahoo, LinkedIn e altri, le vostre PII di pubblico dominio potrebbero comprendere un’altra vostra password, la cosiddetta “password sister”.
Tali “password sister” possono dare indicazioni su come voi create le password – aggiungetele a TarGuess e la probabilità di battere il shutout NIST è ancora più alta:
“TarGuess-III e IV [che utilizzano password sister] possono registrare tassi di successo del 73% con solo 100 tentativi contro utenti normali e del 32% contro utenti esperti”
Un divario in espansione?
Qualche anno fa, Microsoft Research effettuò uno studio dettagliato sulla protezione delle password nel mondo reale (maggiori informazioni al riguardo sono riportate nel mio articolo Abbiamo davvero bisogno di password forti?), evidenziando quello che veniva chiamato il divario online-offline.
Tale divario è la differenza tra il numero di tentativi cui la vostra password deve resistere per affrontare un attacco online (circa 1 milione di tentativi) e quanto forte deve essere per affrontare un attacco offline (circa 100 trilioni di tentativi).
Gli attacchi online si verificano quando qualcuno cerca di accedere a un sito web indovinando la password (naturalmente, non è lui a digitare la password, ma utilizza un software che le digita molto più rapidamente e senza problemi di noia).
Gli attacchi offline si verificano quando qualcuno ruba, acquista o si trova altrimenti in possesso di un database delle password di un sito web e può crackarle direttamente usando appositi software e hardware.
I ricercatori hanno concluso che c’è poco da guadagnare nel creare password che ricadono nell’ampio “divario” tra le due soglie; se la vostra password è sufficientemente buona da resistere a 1 milione di tentativi, non migliorerà sostanzialmente fino a quando non potrà sostenerne 100 trilioni.
Lo studio di cui sopra era parte di un più vasto cambiamento nel modo di intendere le password (del quale le stesse ultime linee guida NIST rappresentano un buon esempio), che sta cercando di togliere l’onere della sicurezza delle password dalle mani degli utenti per riportarlo in quelle dei proprietari e degli amministratori dei sistemi.
Le formule per la creazione di password originali e i reset arbitrari sono out, il throttling e l’adeguata archiviazione delle password invece sono in.
In effetti, gli autori dicono agli amministratori di sistema di farsi carico della questione; vi preoccupate degli attacchi offline, dicono, e lasciate agli utenti il semplice compito di creare password che possano resistere a 1 milione di tentativi – solo sei caratteri scelti a caso dovrebbero essere sufficienti.
TarGuess e i suoi sviluppatori ci mostrano che anche questa potrebbe essere una richiesta eccessiva:
“…le password degli utenti normali non sono abbastanza forti da resistere nemmeno agli attacchi online e ancora ben distanti dal “divario online-offline”.”
Molti di noi restano affezionati alle nostre terribili password.
I ricercatori hanno usato database di password provenienti da nove massicce violazioni, tra le quali CSDN, Yahoo e RockYou, la maggior parte delle quali prodottasi negli ultimi sei anni.
In sette dei nove database, 123456 era la password più usata e nessuna delle prime 10 password in ciascuna delle violazioni sorprenderebbe i lettori dell’elenco delle password più diffuse pubblicato da SplashData.
E come se tutti avessero letto la nostra guida a prova di bomba per scegliere password terribili.
La conclusione
Se siete proprietari o gestori di un sito web, attenetevi alle ultime linee guida NIST (potreste anche iniziare con il nostro manuale sulle regole NIST per le password) e leggete la nostra guida su come archiviare le password in sicurezza.
Non consentite agli utenti di usare 123456 come password né qualsiasi altra cattiva password conosciuta e utilizzate un misuratore affidabile della forza delle password per assicurarvi che gli utenti non scelgano altre password semplici da crackare.
Usate rate limiting e lock-out per rafforzare le password deboli e un’autenticazione a due fattori in modo tale che crackare una password in sé non sia sufficiente a consentire l’accesso dell’attacker.
Se siete l’utente di un sito web, dotatevi di un password manager che creerà e ricorderà le password per voi, consentendovi quindi di creare numerose password incredibilmente forti secondo necessità.
Naturalmente, per proteggere il password manager dovrete creare e ricordare almeno una password molto forte. Per questo motivo, vi suggeriamo di guardare il nostro video su come scegliere una password adeguata.