Quanto sono sicure le password?

9 Apr, 2006 Informatica, Technology

Technorati Tags: brute, bruteforce, computazione, computing, confidenzialità, engineering, force, password, secret, secretkey, security, sicurezza, social, time

Probabilmente ve lo sarete chiesto anche voi: ma quanto sono sicure le password che avete scelto per proteggere i vostri account sparsi sulla rete? Caselle di posta, forum, blog, servizi finanziari online … su questo sito c’è un’intera tabella che vi mostra i tempi medi con cui possono venir forzate le vostre password, supponendo attacchi di tipo “brute force” che vadano a tentare tutte le possibili combinazioni dell’alfabeto utilizzato. Ovviamente bisogna tener conto che questo tipo di attacco è in genere l’ultima spiaggia dell’hacker, perchè in genere è sempre possibile trarre indizi per restringere la classe d’appartenenza della password rispetto a tutte quelle possibili, oppure è possibile ottenere le password con altri metodi più furbi di “social engineering” (ad esempio tramite pishing). Ma vediamo qualche esempio, ad esempio pensiamo ad una password di 8 caratteri, che viene forzata da un singolo processore veloce (diciamo quello che avete in casa se è di ultima generazione) oppure in un contesto di “computazione distribuita su larga scala” (ad esempio, un hacker che prenda il controllo di “migliaia” -cifra da prendere con le pinze- di PC sulla rete e faccia loro svolgere questi calcoli):

Alfabeto di 26 caratteri (A-Z senza distinzione tra maiuscole/minuscole): la password viene forzata in 348 minuti da un singolo processore “veloce”. In un contestodistribuito, può venir forzata in tre minuti e mezzo
Alfabeto di 62 caratteri (lettere e numeri con distinzione maiuscole/minuscole): la password viene forzata in 253 giorni da un singolo processore “veloce”. In un contesto distribuito, può venir forzata in 60 ore e mezzo
Alfabeto di 96 caratteri (lettere e numeri con distinzione maiuscole/minuscole più altri simboli comuni): la password viene forzata in 23 anni da un singolo processore “veloce”. In un contesto distribuito può venir forzata in 60 ore e mezzo

Ora capirete l’importanza di scegliere delle password abbastanza lunghe e “variegate” … bisogna però pensare che questo è solo uno degli aspetti del problema: che senso ha scegliere una password di 30 caratteri se poi per ricordarvela dovete scriverla su un biglietto da attaccare al monitor in ufficio, dove tutti possono leggerlo? E poi, ha senso utilizzare una password del genere per il vostro account sul forum delle foto di gnocche? Io in genere uso diverse password, più o meno sicure a seconda di quanto sia per me importante che l’account in questione rimanga privato E voi?

Post simili

Opzioni Post

2 Commenti so far »

baldo said

Aprile 9 2006 @ 10:26 pm

io no…
Zagash said

Aprile 9 2006 @ 11:32 pm

Mi avvalgo di software apposito -> keepass

Ha un ottimo generatore di password e permette di gestire ottimamente tutti i vostri account… dal forum di gnocche all’ homebamking.
Gode di ottime funzionalità tra le quali l’ autotyping che non vi obbliga a digitare la password (anti keylogger) e la possibilità di tenere tutto su supporto removibile.

Ovvio l’ anello debole diventa la password di accesso al programma… sempre meglio del mio vicino che lascia la pass di Unicredit memorizzata su FireFox -_-’