Gli esperti di sicurezza di Microsoft hanno ideato un nuovo concetto per la generazione di password sicure che elimina stringhe facilmente dimenticabili di codici ID alfanumerici multi-case.
Il concetto si basa sul consentire agli utenti di scegliere le proprie password relativamente semplici, a condizione che tali password non vengono scelti da troppe altre persone nel sistema, rendendo meno efficaci gli attacchi tramite ipotesi casuali.
Consentiremo qualsiasi password l'utente desideri, purché non sia un obiettivo attraente per un attacco di ipotesi statistica
"Abbiamo proposto di sostituire le complesse politiche di password di oggi con una semplice", hanno scritto Stuart Schechter e Cormac Herley nel loro La popolarità è tutto rapporto. "Consentiremmo qualsiasi password l'utente desideri, purché non sia un obiettivo attraente per un attacco di ipotesi statistica."
La recente tendenza per la protezione tramite password è stata verso ID più lunghi e complicati progettato per contrastare gli "attacchi di dizionario" in cui gli hacker mirano a provare milioni di password su ciascun utente account.
Regole complesse per le password – come “deve contenere almeno 12 caratteri, contenere una combinazione di lettere maiuscole e minuscole lettere, numeri e almeno un simbolo” – rendono difficile per gli hacker indovinare le password utilizzando attacchi con dizionario.
Tuttavia, i responsabili IT devono applicare e proteggere queste password bloccando gli account dopo, ad esempio, tre tentativi falliti di accesso, hanno affermato i ricercatori, il che comporta costi di supporto elevati.
Secondo i ricercatori, gli hacker hanno aggirato il concetto di password sempre più complesse capovolgendo l'idea.
Invece di applicare centinaia di migliaia di password a ciascun account, gli aggressori scelgono le password più comunemente utilizzate e le applicano a migliaia di account.
Lo schema dei ricercatori protegge dagli attacchi di ipotesi statistiche semplicemente contando quanti volte gli utenti selezionano una data password e una volta raggiunto tale limite, nessun altro utente può sceglierla parola d'ordine.
"La sostituzione delle regole di creazione delle password con limitazioni di popolarità ha il potenziale per aumentare sia la sicurezza che l'usabilità", afferma il rapporto.
"Poiché nessuna password può diventare troppo comune, gli aggressori vengono privati delle password popolari di cui hanno bisogno per compromettere una parte significativa degli account utilizzando l'ipotesi online".
Sebbene rappresenti una rottura significativa rispetto al pensiero attuale, il sistema funzionerebbe solo per sistemi con centinaia di migliaia di utenti, come Google, Facebook o Hotmail.
