Le password da 8 caratteri sono davvero sicure?

Password

Tra le buone norme di sicurezza da adottare online c’è sicuramente quella di scegliere una password “complessa” di almeno 8 caratteri e che si caratterizzi per un giusto di mix di numeri, lettere (maiuscole/minuscole) e caratteri speciali. La regola aurea dei caratteri, afferma un hacker (Tinker) interpellato da The Register, è un’eredità del passato mutuata dalle policy delle grandi corporation IT – una sorta di test per i software pensati per decifrare gli algoritmi di hashing a loro difesa – che però sembrano non aver tenuto conto dell’evoluzione tecnologica degli ultimi anni.

Se nel 2011 una combinazione da 8 caratteri (53 bit) richiedeva almeno 44 giorni di lavoro (tecniche brute force) oppure 14 secondi impiegando una GPU di ultima generazione e delle tabelle precalcolate per il reversing delle funzioni di hash (rainbow tables in gergo), nel 2019 “le password da 8 caratteri, indipendentemente dalla loro complessità, possono essere [recuperate] in meno di due ore e mezza”.

Pur con le dovute precisazioni – la strumentazione utilizzata dall’hacker è ovviamente di altissimo livello (basti pensare che le 8 schede video della configurazione hardware sfiorano quasi i 10.000€ di valore complessivo) e l’attacco è stato lanciato offline – l’esperimento di Tinker dimostra la debolezza di alcuni algoritmi di hash come NTML, lanciando un avvertimento a tutti coloro che si affidano a Windows e ad Active Directory – sebbene NTML sia stato rimpiazzato da Kerberos, continua ad essere impiegato per l’archiviazione delle password offline e la loro registrazione nel file NTSD.dit. Algoritmi alternativi come bcrypt sono ovviamente più duri da piegare ma niente è impossibile se ci si affida al cloud.

“Correcthorsebatterystaple”

Ai malintenzionati che si dedicano al cracking delle password non occorrono sistemi all’avanguardia e migliaia di euro perché la capacità di calcolo di 8 schede video potrebbe essere tranquillamente noleggiata con una ventina di dollari, sottolinea un altro hacker. La situazione si aggrava notevolmente se si passa al settore “privato” dove saltano subito all’occhio discutibili standard di sicurezza adottati dai più noti portali/servizi*** utilizzati quotidianamente da milioni di utenti – alcuni orientati anche al segmento business:

  • Facebook (6 caratteri)
  • Reddit (6 caratteri)
  • Wikipedia (1 carattere)
  • Amazon (6 caratteri)
  • Twitter (6 caratteri)
  • Instagram (6 caratteri)
  • Ebay (6 caratteri)
  • Netflix (4 caratteri)

*** numero minimo consentito, rilevazioni effettuate nel 2018.

Come è possibile notare la soluzione più popolare è quella dei 6 caratteri, il che facilita indubbiamente il lavoro di potenziali malintenzionati. Ma se anche le combinazioni da 8 caratteri sono messe in discussione, cosa fare per difendersi?

Oltre ad evitare le classiche ma sempre in auge 123456 ed affini, Tinker consiglia di usare almeno quattro o cinque parole, ad esempio “correcthorsebatterystaple” – citando indirettamente un “popolare” comic online; in alternativa di affidarsi ad un password manager, protetto a sua volta da una procedura d’autenticazione a due fattori, e generare combinazioni con il numero massimo di caratteri previsto dal software. Più facile a dirsi che a farsi:

poiché abbiamo diffuso l’idea della complessità (lettere maiuscole, minuscole, numeri e simboli), per gli utenti è difficile ricordare le proprie password. Questo, tra le altre cose, li spinge a scegliere la lunghezza minima consentita, in modo che possano ricordare più facilmente le [combinazioni]

conclude.

Fonti: 1,2.