Questo è il motivo per cui molti siti richiedono password di almeno 8 caratteri.

Le password brevi e semplici possono essere decifrate in pochi secondi, ma quelle lunghe e complesse possono richiedere trilioni di anni.

Questo è ciò che indica la società di sicurezza informatica Hive Systems, che ha pubblicato uno studio sul tempo necessario per decifrare le password in base alla loro lunghezza e complessità.

Com’è il processo di cracking della password?

Per lo studio, Hive Systems ha condotto dei test per determinare la velocità con cui un criminale informatico “medio”, ovvero qualcuno che utilizza il proprio computer desktop con “una scheda grafica di fascia alta”, può decifrare password di diversa lunghezza e complessità. .

I ricercatori dell’azienda spiegano come funziona il processo di crittografia e decrittazione delle password. Inizia con un processo chiamato “hashing”, un algoritmo utilizzato dai server per nascondere le password degli utenti in modo che non vengano archiviate in modo visibile.

Se scegli la parola “password” come password (cattiva idea), una popolare funzione hash come MD5 produrrà la seguente stringa: “5f4dcc3b5aa765d61d8327deb882cf99”. L’idea è che se qualcuno accede al server e ottiene l’elenco delle password memorizzate, vedrà solo una combinazione di lettere e numeri, che è il risultato della funzione hash.

Il risultato di un hash è irreversibile, perché vengono creati con algoritmi unidirezionali. Cioè, da un hash non puoi dedurre quale sia la password originale.

Ma i criminali informatici possono farlo elenchi di tutte le possibili combinazioni di caratteri e poi hash quelle combinazioni. In questo modo, gli aggressori devono solo abbinare gli hash delle password al loro elenco per determinare le password originali.

Cracking delle password nel 2022

Una password di 8 caratteri — con un buon mix di numeri, lettere maiuscole e minuscole e simboli — potrebbe essere rotto in 8 ore nel 2018.

Questo perché, nel 2018, si riteneva che un criminale informatico medio potesse utilizzare una carta RTX 2080, con la capacità di calcolare 37 miliardi di hash al secondo.

Tempo necessario per calcolare gli hash MD5 in base alla complessità con la GPU RTX 2080

Tuttavia, nel 2022, è possibile utilizzare la potenza dei provider di cloud computing per ridurre i tempi solo 39 minuti.

Ad esempio, il noleggio di 8 GPU NVIDIA A100 Tensor Core da Amazon (“p4d.24xlarge”) costa solo $ 32,77 l’ora. Con questa potenza è possibile calcolare 523,5 miliardi di hash al secondo.

Anche con la potenza del cloud, decifrare una password di 18 caratteri, che utilizza un mix di numeri, lettere minuscole/maiuscole e simboli, potrebbe richiedere fino a 438 miliardi di anni secondo Hive Systems.

Tempo necessario per calcolare gli hash MD5 in base alla complessità con Amazon (8 x GPU A100)

Sebbene le GPU possano generare hash MD5 molto rapidamente, altre funzioni hash rallentano il processo in base alla progettazione.

Sebbene ci sia ancora un numero sorprendente di siti che utilizzano MD5, c’è la tendenza ad usare l’hashing delle password bcrypt e, per questa funzione, i tempi aumentano notevolmente, come si può vedere in questa tabella.

Tempo necessario per calcolare gli hash bcrypt in base alla complessità con la GPU RTX 3090

Tempo necessario per calcolare gli hash bcrypt in base alla complessità con Amazon (8 x GPU A100)

Conclusioni

Lo studio ha esaminato le violazioni delle password dal 2007 a oggi pubblicate tramite HaveIBeenPwned, per vedere cosa hanno cercato di violare gli aggressori e se è cambiato nel tempo.

In generale, gli accessi a siti Web di cui le persone probabilmente si preoccupano meno, come forum e ristoranti, utilizzavano e utilizzano ancora MD5 e SHA-1. Questo è un grosso problema. perché la maggior parte delle persone riutilizza le stesse password su siti più sensibili quali banche online, procedure con la pubblica amministrazione, posta elettronica o social network.

Le soluzioni di archiviazione delle password come LastPass, 1Password e Bitwarden utilizzano un approccio hash chiamato PBKDF2 con una forte alternativa hash a MD5 chiamata SHA-256. Guardando i tempi di hashing con una GPU RTX 3090, ottieni questi tempi.

Tempo necessario per calcolare gli hash PBKDF2 in base alla complessità con la GPU RTX 3090

 

In definitiva, il modo migliore per evitare che la tua password venga indovinata è utilizzare password lunghe e complicate che richiedono molto tempo per essere decifrate. Per questo motivo sono solitamente richieste password di almeno 8 caratteri con una combinazione di lettere maiuscole/minuscole, numeri e simboli.

Tuttavia, la tendenza nelle aziende sta cominciando ad essere chiedi ai tuoi dipendenti di utilizzare frasi, al posto delle parole, come le password, per aumentarne la lunghezza, oltre a utilizzare il fattore di doppia autenticazione in modo da aver bisogno, oltre alla password, di un altro token di sicurezza.

A proposito, sebbene sia un gioco da ragazzi, il rapporto sconsiglia vivamente di riutilizzare le password per più siti Web. Se lo fai e riescono a decifrare la tua password per un sito Web, tutti i tuoi account saranno compromessi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.