L'articolo ha testato 3 password diverse con uno strumento open source per decifrare le password, per scoprire quale metodo funziona davvero in termini di sicurezza delle password.
Sommario
Quando crei un account presso un servizio online, il provider solitamente crittografa le tue informazioni di accesso sui propri server. Questo viene fatto utilizzando un algoritmo per creare un "hash", una stringa casuale apparentemente unica di lettere e numeri per la tua password. Naturalmente, non si tratta di un evento del tutto casuale, bensì di una stringa di caratteri molto specifica che solo la tua password può generare, ma a un occhio inesperto sembra un pasticcio.
Trasformare una parola in un hash è molto più rapido e semplice che "decodificare" nuovamente l'hash in una parola. Quindi, quando imposti una password, il servizio a cui stai effettuando l'accesso esegue la scansione della tua password tramite un hash e memorizza il risultato sui propri server.
Se questo file di password dovesse trapelare, gli hacker cercheranno di scoprirne il contenuto decifrando la password. Poiché crittografare le password è più veloce che decrittografarle, gli hacker installeranno un sistema che accetta le potenziali password come input, le crittografa utilizzando lo stesso metodo del server e quindi confronta i risultati con un database di password.
Se l'hash di una potenziale password corrisponde a una qualsiasi voce nel database, l'hacker sa che ogni tentativo corrisponde alla potenziale password provata.
Prova a decifrare alcune delle password generate dall'articolo per vedere quanto è facile. Per fare ciò, nell'esempio verrà utilizzato Hashcat , uno strumento gratuito e open source per decifrare le password che chiunque può utilizzare.
Per questi test, l'esempio craccherà le seguenti password:
Ora, crittografa la password utilizzando MD5. Ecco come apparirebbero le password se fossero salvate in un file di password:
Adesso è il momento di scoprirli.
Per iniziare, eseguiamo un attacco tramite dizionario, uno dei metodi di attacco alle password più comuni. Si tratta di un attacco semplice in cui l'hacker prende un elenco di potenziali password, chiede a Hashcat di convertirle in MD5 e verifica se qualcuna delle password corrisponde alle 3 voci sopra. Per questo test, utilizziamo come dizionario il file "rockyou.txt", che rappresenta una delle più grandi fughe di password della storia.
Per iniziare a decifrare, l'autore dell'articolo è andato nella cartella Hashcat, ha fatto clic con il pulsante destro del mouse su uno spazio vuoto e ha cliccato su Apri nel terminale . Ora che il Terminale è aperto e impostato sulla directory Hashcat, richiama l'applicazione Hashcat con il seguente comando:
.\hashcat -m 0 -a 0 passwordfile.txt rockyou.txt -o results.txtEcco cosa fa il comando:
Nonostante Rockyou fosse un fenomeno enorme, Hashcat è riuscito a elaborarli tutti in 6 secondi. Nel file risultante, Hashcat afferma di aver decifrato la password 123456, ma le password Susan e Bitwarden restano intatte. Questo perché la password 123456 è stata utilizzata da qualcun altro nel file rockyou.txt, ma nessun altro ha utilizzato la password Susan o Bitwarden, il che significa che erano sufficientemente sicure da sopravvivere a questo attacco.
Gli attacchi tramite dizionario sono efficaci quando qualcuno utilizza la stessa password di una password presente in un lungo elenco di password. Sono rapidi e semplici da implementare, ma non riescono a decifrare le password che non sono presenti nel dizionario. Pertanto, se si vuole davvero testare la propria password, è necessario ricorrere agli attacchi Brute Force.
Se gli attacchi tramite dizionario si limitano a prendere un elenco preimpostato e a convertire i singoli elementi uno per uno, gli attacchi tramite forza bruta fanno lo stesso, ma con ogni combinazione immaginabile. Sono più difficili da implementare e richiedono più tempo, ma alla fine saranno in grado di decifrare qualsiasi password. Come vedremo tra poco, questa capacità può talvolta richiedere molto tempo.
Ecco il comando utilizzato per eseguire un "vero" attacco Brute Force:
.\hashcat -m 0 -a 3 target.txt --increment ?a?a?a?a?a?a?a?a?a?a -o output.txtEcco cosa fa il comando:
Anche con questa pessima maschera, la password 123456 viene decifrata in 15 secondi. Sebbene sia la password più comune, è una delle più deboli.
Parola d'ordine "Susan48!" Molto meglio: il computer dice che ci vorranno 4 giorni per decifrarlo. Tuttavia c'è un problema. Ricordate quando nell'articolo si diceva che la password di Susan aveva delle falle gravi? L'errore più grande è che le password sono costruite in modo prevedibile.
Quando creiamo una password, spesso inseriamo elementi specifici in punti specifici. Come puoi immaginare, la creatrice della password Susan ha provato inizialmente a usare "susan", ma le è stato chiesto di aggiungere lettere maiuscole e numeri. Per facilitarne la memorizzazione, hanno scritto in maiuscolo la prima lettera e aggiunto dei numeri alla fine. Quindi forse un servizio di accesso ha richiesto un simbolo, quindi chi ha impostato la password lo ha aggiunto alla fine.
Possiamo quindi usare la maschera per dire a Hashcat di provare solo caratteri specifici in punti specifici, per sfruttare la facilità con cui le persone possono indovinare le password quando le creano. In questa maschera, "?u" utilizzerà solo lettere maiuscole in quella posizione, "?l" utilizzerà solo lettere minuscole e "?a" rappresenta qualsiasi carattere:
.\hashcat -m 0 -a 3 -1 ?a target.txt ?u?l?l?l?l?a?a?a -o output.txtCon questa maschera, Hashcat ha decifrato la password in 3 minuti e 10 secondi, molto più velocemente di 4 giorni.
La password di Bitwarden è lunga 10 caratteri e non segue alcun modello prevedibile, quindi per decifrarla sarebbe necessario un attacco Brute Force senza alcuna maschera. Sfortunatamente, quando ho chiesto ad Hashcat di farlo, è stato restituito un errore, dicendo che il numero di combinazioni possibili supera il limite di numeri interi. Secondo un esperto di sicurezza informatica, Bitwarden ha impiegato 3 anni per decifrare la password, il che è sufficiente.
I principali fattori che impediscono all'articolo di decifrare la password di Bitwarden sono la sua lunghezza (10 caratteri) e l'imprevedibilità. Pertanto, quando create una password, cercate di renderla il più lunga possibile e di distribuire simboli, numeri e lettere maiuscole in modo uniforme al suo interno. Ciò impedisce agli hacker di utilizzare maschere per prevedere la posizione di ciascun elemento e rende le password molto più difficili da decifrare.
Probabilmente conosci i vecchi proverbi sulle password come "usa un array di caratteri" e "rendila il più lunga possibile". Spero che tu sappia perché le persone consigliano questi utili suggerimenti: sono la differenza fondamentale tra una password facilmente decifrabile e una sicura.
L'articolo seguente ti aiuterà a comprendere le dimensioni delle attuali linee TV di Sony, Samsung e LG, così potrai prendere la giusta decisione d'acquisto.
Creare un rapporto sano con la tecnologia può sembrare scoraggiante, ma spesso piccoli cambiamenti fanno una grande differenza.
L'app Galleria di Samsung è più potente di quanto si possa pensare, ma questo non è immediatamente evidente.
Si dice che Microsoft sia sempre più vicina al lancio del suo primo smartphone pieghevole, dopo che il 1° ottobre le è stato concesso un brevetto per un telefono pieghevole in grado di piegarsi di 360 gradi senza creare pieghe sullo schermo.
Google sta testando una nuova funzionalità di verifica tramite un segno di spunta blu nella ricerca. Questa funzionalità aiuterà gli utenti a evitare di cliccare su link a siti web falsi o fraudolenti.
A prima vista, Microsoft 365 e Office 2024 possono sembrare molto simili, poiché entrambi consentono di accedere alle applicazioni Microsoft più diffuse e diffuse.
I codici Elemental Dungeons sono una forma di ricompensa necessaria per i giocatori. Come in qualsiasi altro gioco online su Roblox, i giocatori possono ricevere questi aiuti in cambio di denaro o altri oggetti.
Quando stampiamo un documento Word o creiamo una tabella in Word, ripetere il titolo in Word ci aiuta a rintracciarlo più facilmente e a leggere il titolo del documento senza problemi su diverse pagine, soprattutto con titoli lunghi.
Il nuovo iMessage di iOS 18 è stato aggiornato con messaggi animati, effetti di testo e numerose opzioni da utilizzare per i messaggi inviati.
C'è un fatto curioso sui maiali che non tutti sanno: i maiali sono considerati i nemici dei serpenti, perché quando questi due animali si incontrano, la maggior parte dei serpenti diventa cibo per i maiali.
Qual è la distanza tra la Terra e Giove? Se non lo sapete, questo articolo vi dirà quanto dista Giove dalla Terra.
Quali generali sono esclusi dalla meta della Mobile Alliance? Esploriamo ora
I DTCL di Graves delle stagioni 1, 3 e 6 costano tutti solo 1 oro e sembrano essere solo un campione aggiuntivo per stimolare il clan; il ruolo principale all'inizio del gioco è ancora utilizzato, ma non molto. A partire dalla stagione 7.5 di DTCL, il prezzo di Graves è schizzato a 4 monete d'oro ed è sicuramente un carry indispensabile se decidi di giocare Thunder Dragon o Gunner.
Con i telefoni Samsung dovresti usare la funzione audio dell'app separata. Ad esempio, puoi riprodurre Apple Music e il tuo telefono indirizzerà l'audio attraverso gli altoparlanti della tua auto.
Ci sono molti buoni stati sul lavoro su Internet. L'articolo riassumerà per voi le situazioni lavorative positive e significative.
