Che la violazione delle password sia uno dei metodi d’attacco più diffusi, anche a causa della forte predilezione degli utenti del web alla creazione di chiavi di protezione deboli come sequenze crescenti di numeri o combinazioni di dati noti (ad es. nome-cognome), è ormai cosa nota. Da un report diffuso da Hive Systems queste problematiche appaiono sempre più in modo palese, visto che sono stati utilizzati vari fattori chiave per capire quanto tempo ci potrebbe mettere un attaccante a scovare una password. Questi sono principalmente la potenza di calcolo degli hardware più innovativi ed i software impiegati insieme a molte altre sfaccettature.
A tale proposito è stata diffusa una tabella che mostra in modo schematico tutti i tipi di composizione delle password, la loro lunghezza ed il tempo medio impiegato dagli strumenti di Hive per poter crackare le chiavi.
Così possiamo vedere come anche le password di 10 caratteri, se composte da soli numeri, possono essere scoperte all’istante mentre quelle di 4 o 5 caratteri vengono scoperte istantaneamente a prescindere da come sono composte. Le stesse password considerate più solide, ovvero quelle che contengono lettere maiuscole e minuscole oltre a numeri e simboli possono essere scoperte in pochi secondi se di soli 6 caratteri o in pochissimi minuti se composte da ben 7 caratteri. Questi dati confermano se ce ne fosse il bisogno la necessità di pensare bene a come vogliamo creare le chiavi d’accesso ai sistemi che riteniamo più importanti per la nostra vita quotidiana, il nostro lavoro e le nostre finanze. In generale, ad esempio, una password non troppo breve, ovvero di 9 caratteri, se composta da sole lettere maiuscole e minuscole può essere scovata in 19 ore, un dato non trascurabile se si considerano le infinite possibilità a disposizione.
Ciò che preoccupa però è che i PC usati da Hive per effettuare questi controlli vengono fatti simulando un attaccante che non dispone di una quantità elevata di denaro da investire in potenza di calcolo. Un altro fattore è quello della capacità dell’hardware disponibile per il cracking di vari hash al secondo. Nel 2018 questa capacità era mediamente pari a 40 Hash al secondo, mentre nel 2020 si è arrivati addirittura a 70. Nel 2022 invece questo dato è schizzato ancora più in alto arrivando a 164 Hash al secondo.
Le brutte notizie purtroppo non si fermano qui, perché i tecnici di Hive hanno anche provato ad utilizzare le capacità di calcolo le stesse infrastrutture che sostengono il colosso dell’AI ChatGPT. I risultati abbassano e anche molto quelli che si vedono nella tabella in alto, portando a decifrare nell’immediato anche le password robuste di 7 caratteri in modo istantaneo mentre si potrebbero impiegare anche pochi minuti o settimane per crackare password che presentano più di 10 caratteri compositi e non solo numerici.
Questi dati devono sicuramente mettere in guardia tutti, a cominciare dai responsabili IT delle aziende e quelli di Cybersecurity, che si dovranno verosimilmente impegnare nei prossimi anni a sostenere una sfida che sta diventando sempre più dura da vincere, quella contro l’Intelligenza Artificiale utilizzata dagli hacker più e meno esperti.
Fonte: 1