All’inizio di quest’anno, circa 6,5 milioni di hash delle password dell’account LinkedIn sono stati pubblicati su un forum di hacker. Gli hash erano semplici digerimenti SHA1 calcolati dalle password dell’utente, come memorizzati nell’infrastruttura back-end di LinkedIn.

Non ci è voluto molto per gli hacker per iniziare a cracking loro, con oltre la metà di loro incrinato in pochissimo tempo.

Ci sono due ragioni principali per cui è stato possibile un cracking così veloce:

* l’utilizzo della funzione SHA1 stessa
* GPU veloci

Diamo un’occhiata a entrambi.

La funzione SHA1 è stata progettata principalmente per sostituire la funzione MD5 più debole. È stato creato per essere veloce, e in effetti lo è. Su una scheda grafica AMD / ATI 7970, “hashcat” (vedi https://hashcat.net/oclhashcat-plus/) calcola un po ‘ più di due miliardi di hash SHA1 al secondo. Ciò significa che molte combinazioni possono essere testate in un tempo molto breve.

Per superare questo “problema”, esistono algoritmi moderni e più sicuri, come la funzione sha512crypt utilizzata in Ubuntu e nelle versioni recenti di Fedora Core Linux. Invece di 2 miliardi di hash al secondo, la stessa scheda GPU si rompe solo un po ‘ più di 12.000 combinazioni sha512crypt al secondo. Ad esempio, il controllo di un miliardo di combinazioni sha512crypt richiede circa 24 ore; ma meno di 1 secondo per SHA1.

A causa delle GPU veloci di oggi, un buon consiglio quando si tratta di sicurezza è scegliere una password complessa, che:

* include caratteri maiuscoli e minuscoli
* include almeno un carattere di spazio
* include numeri
* include diversi simboli come !@ #
* non è basato su una parola nota
* ha almeno 12 caratteri di dimensione, ma più a lungo è meglio

Molte delle persone che conosco usano passphrase di dimensioni comprese tra 20 e 50 caratteri. Questo è un buon consiglio che rende improbabile che anche nel caso in cui l’hash della password sia trapelato, nessuno lo romperà.

Immagina la mia sorpresa oggi quando ho provato ad accedere a un vecchio account Hotmail e ho ottenuto quanto segue:

Le password dell'account Microsoft possono contenere fino a 16 caratteri. Se hai utilizzato una password con più di 16 caratteri, inserisci i primi 16.

Le password degli account Microsoft possono contenere fino a 16 caratteri.
Se hai utilizzato una password con più di 16 caratteri, inserisci i primi 16.

La mia password precedente era di circa 30 caratteri e ora non funziona più. Tuttavia, ho potuto accedere digitando solo i primi 16 caratteri.

Questa limitazione è ben nota (vedi l’eccellente post di Graham Cluley sui limiti delle password di vari servizi) tuttavia, ciò che ha attirato la mia attenzione è stato che tagliando la password a 16 caratteri, avrebbe funzionato.

Per tirare questo trucco con le password più vecchie, Microsoft aveva due scelte:

* memorizzare le password in chiaro complete nel loro db; confrontare i primi 16 caratteri solo
* calcolare l’hash solo sui primi 16; ignora il resto

La memorizzazione di password in chiaro per i servizi online è un no-no definitivo in termini di sicurezza. L’altra scelta potrebbe significare che fin dal suo inizio, Hotmail stava silenziosamente utilizzando solo i primi 16 caratteri della password.

Ad essere onesti, non sono sicuro di quale sia peggio.

PS: Il mio insegnante ha detto sempre pensare positivamente e cercare di terminare con una nota ottimistica. Quindi ecco qui: “Grazie Google per GMail”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.