La scorsa settimana ho parlato di password dal lato della sicurezza delle cose. Questa settimana mi piacerebbe parlare di password dal lato hacker delle cose, e poi come proteggersi personalmente da questo tipo di attacchi. Quindi supponiamo che io sia un hacker e ho un hash della tua password o sto solo cercando di accedere a un account online. Quali metodi potrei usare per indovinare la tua password?,
Attacchi di forza bruta
Questo è probabilmente il tipo di attacco più semplice da capire e quello che probabilmente ti viene in mente quando senti le parole “password cracking.”Essenzialmente quello che succede è che l’hacker proverà ogni singola possibile combinazione di numeri e lettere fino a quando non ottengono una corrispondenza. Così l’hacker avrebbe provato ‘a‘, poi’ aa‘, poi’ aaa‘, poi’ aaaa‘, poi’ aaaaa‘, e poi’ aaaaaaab ‘ avanti e avanti e avanti fino a quando non ottengono un colpo. Questo è facilmente automatizzato dai computer.
Il problema più grande con questo tipo di attacco è la quantità di tempo necessario per provare ogni singola combinazione possibile in quanto il lavoro richiesto scala esponenzialmente. Se hai solo lettere minuscole, sono solo 26 possibilità in ogni punto. Con maiuscole, 52. Con numeri e simboli, 62-80+ a seconda del sistema utilizzato e le restrizioni sulle password. Consente di dividere la differenza e dire 76 caratteri possibili per ogni punto nella password., Se si dispone di una password a 2 caratteri, ci sono 76 * 76 possibilità o 5776 possibili password. Un computer moderno sarebbe crack che istantaneamente. Ma quando aggiungi più cifre, il numero di possibili password segue 76 ^ n dove n è la lunghezza della tua password. Con il tempo si arriva a 8 cifre, ci sono 1.113.034.787.454.976 possibili password, che richiederebbe molto tempo per provare. Così si potrebbe pensare che dal momento che la maggior parte dei siti web richiedono un minimo di 6 o 8 caratteri in ogni modo, deve essere quasi impossibile per gli hacker di indovinare la password. Ma c’è un modo migliore.,
Attacchi dizionario
Abbiamo tutti sentito nelle notizie prima di varie violazioni delle password in cui milioni e milioni di account ottengono le loro informazioni trapelate su Internet. Bene, gli hacker sono persone intelligenti e hanno iniziato a cercare modelli negli account trapelati e, di conseguenza, ora ci sono elenchi delle password più comunemente utilizzate. (I più comuni sono “12345” e “password”) Quindi ora, invece di forzare brute password una lettera alla volta, provano queste password comuni ed è esponenzialmente più efficiente decifrare le password in questo modo., Per darvi un esempio di quanto sia efficiente, oltre il 50% delle persone utilizza una delle prime 25 password più comuni. E ‘ assolutamente ridicolo! Con solo 25 password, potrei entrare nel 50% degli account delle persone! Ora potresti dire “Beh, la mia password è sicura, invece di ‘password’, io uso ‘P @ w w0rd ‘” E questo è leggermente migliore, ma ci sono script in uso che prendono le password più comuni e fanno sostituzioni comuni come @ per a, for per s, o 5 per s, ecc. E provano tutte quelle password., Anche se questo è un sacco di possibilità, è ancora massicciamente più efficace di un attacco di forza bruta, e molto più probabile per ottenere la gente.
Come proteggersi
Il modo migliore in assoluto per proteggersi è quello di avere una forte, generato in modo casuale, password univoca per ogni singolo sito web che si visita. Ora, nessuno è in grado di ricordare tutte quelle password diverse, quindi usano un gestore di password. Due popolari sono LastPass e 1Password. Per entrambi questi servizi, è sufficiente ricordare una password che si utilizza per ottenere tutte le altre password., Genereranno password casuali per te e le copieranno e incolleranno nella casella della password per te nei siti Web, quindi tutto ciò che devi fare è fare clic su Login. Non posso raccomandare abbastanza LastPass. Lo uso per tutte le mie password, ed è fantastico.
Lascia un commento