Vuoi sapere quanto velocemente è possibile violare una password utilizzando un PC di fascia alta disponibile in commercio e un software come John the Ripper? Ecco alcuni esempi di tempi che evidenziano il vantaggio di password più lunghe derivate da password più grandi set di caratteri: una password di quattro caratteri che utilizza solo l'alfabeto minuscolo può essere decifrata in cinque secondi; l'aggiunta di tutte e dieci le cifre al set di caratteri triplica il tempo portandolo a 15 secondi; e l'utilizzo di caratteri misti lo estende a un minuto e 30 secondi. Tuttavia, utilizza l'intera tastiera per creare una password lunga e ti troverai in un territorio davvero difficile: una password composta da tutti gli ASCII visualizzabili caratteri estende il tempo di cracking a 15 minuti, una grande differenza rispetto a dove abbiamo iniziato, ma difficilmente rassicurante se la tua rete può ancora essere compromessa velocemente.
Il momento in cui le password complesse iniziano davvero a pagare i dividendi in termini di sicurezza è quando si considera il tempo di cracking previsto per il doppio della lunghezza della password di soli otto caratteri, il che richiederebbe circa 24 giorni, dieci mesi, 17 anni e 1,9 millenni utilizzando gli stessi set di caratteri di Sopra. Si stima che una password di 12 caratteri ricavata da un set di 94 caratteri "tutto ASCII e maiuscole e minuscole" richiederebbe circa 150.913.342 millenni. Questo può sembrare geniale e poco a che fare con la realtà, ma è un argomento che vale la pena sostenere. Aumentare la potenza di calcolo disponibile di un fattore pari a 1.000 e ciò ridurrebbe il tempo di crack del set completo di otto caratteri da 1,9 millenni a solo un paio d’anni, ma è comunque un periodo più lungo di quanto la maggior parte degli hacker vorrà investire nell’attacco alla piccola impresa media rete.
Hacking umano
I tempi di John lo Squartatore sopra riportati dimostrano che se hai una password debole, questa si romperà con poco sforzo, quindi difficilmente ha importanza esattamente come viene attaccata. È quando si dispone di una password complessa ma di una politica di gestione dei rifiuti e di una scarsa formazione di sensibilizzazione del personale che i metodi di ingegneria sociale entrano in gioco.
Tornando al sondaggio, l’ultima domanda che ho posto è stata “qual è la tua password?”, alla quale l’81% ha risposto con gioia e disponibilità. Non è una questione di stupidità, ma illustra piuttosto bene come funziona l’ingegneria sociale. Se avessi posto prima quella domanda mi sarei aspettato una risposta positiva molto, molto inferiore, e se non avessi condotto una ricerca plausibile non sarei andato molto lontano. Ma la combinazione di due fattori: un motivo di ricerca apparentemente valido e un ammorbidimento dovuto a numerosi fattori correlati ma meno specifici domande – hanno reso la rivelazione delle loro password, secondo le parole di un intervistato, "una reazione istintiva, non ci ho pensato nemmeno per un secondo'.
È stato dimostrato in numerose occasioni che gli utenti rappresentano l’anello più debole nella catena della sicurezza, quindi non pensare che non si possa abusare di uno scenario di indagine di questo tipo. Alla stazione di Liverpool Street, il 71% delle persone intervistate dagli organizzatori di InfoSecurity Europe 2004 era felice di scambiare la propria password con un uovo di Pasqua; a Waterloo, il 90 per cento lo fece per una penna scadente e scadente. L’unica cosa di cui gli “hacker umani” di successo hanno molto è il fronte: lo sono gli aggressori di ingegneria sociale truffatori, puri e semplici, ma intelligenti che sanno pensare in piedi per cambiare quasi ogni situazione in giro. Un classico esempio si è verificato al di fuori di un'altra conferenza di InfoSecurity Europe nel 2003, quando gli organizzatori hanno sfidato le persone all'esterno per le loro password. L’amministratore delegato di un’azienda ha rifiutato, nonostante un’attenta domanda che ha seguito la stessa struttura “logorali e scegli la risposta istintiva” del mio sondaggio. Sfortunatamente, ha fornito informazioni appena sufficienti quando ha detto all'interrogante che aveva usato il suo nome figlia, aprendo la porta a un altro idiota – “come si chiama tua figlia” – che ha ottenuto la password velocemente un flash.
