Hack su Internet: attacchi di forza bruta e come fermarli

[ware_item id=33][/ware_item]

Hack Internet


Un attacco a forza bruta, chiamato anche ricerca esaustiva delle chiavi, è essenzialmente un gioco di ipotesi e può essere eseguito contro qualsiasi tipo di sistema di autenticazione.

Le chiavi di crittografia sono particolarmente vulnerabili agli attacchi di forza bruta, in quanto non esiste un modo semplice per limitare il numero di ipotesi che un utente malintenzionato può fare per decifrarlo. È quindi possibile continuare a inserire ogni singola password possibile fino a quando non si verifica quella corretta.

Passcode numerici semplici

La lunghezza e la complessità di una password ci consentono di calcolare quante ipotesi sarebbero necessarie per decifrarla.

Ad esempio, un tipico codice di accesso a quattro cifre avrebbe 10.000 combinazioni diverse, da 0000 a 9999. È facile calcolare che se le password vengono inserite in modo casuale, il codice di accesso corretto ha una probabilità del 50% di essere indovinato entro 5.000 tentativi.

Mentre potrebbe essere triste inserire così tante chiavi diverse per un essere umano, potremmo costruire un braccio robotico per farlo per noi, o persino trovare un modo per inserire i codici elettronicamente. Se il nostro braccio del robot impiega un secondo a inserire un codice, potremmo aprire una di queste porte entro 167 minuti, meno di tre ore.

proteggere dalla forza brutaLimitazione del numero di ipotesi consentite per una password.

Rendere i sistemi più sicuri limitando il numero di ipotesi

Ci sono alcuni modi per rendere più sicura la suddetta porta. Ad esempio, potremmo consentire solo tre ipotesi prima che il lettore di codici porta sia bloccato in una scatola che richiede l'apertura di una chiave fisica. La possibilità di indovinare correttamente il codice della porta giusta verrebbe quindi ridotta allo 0,3%, un numero sufficientemente piccolo da sperare di rimandare un attaccante.

Le carte bancarie usano spesso questo meccanismo; dopo un certo numero di tentativi falliti, l'ATM manterrà la carta dell'utente.

Le schede SIM del telefono spesso consentono solo un numero limitato di tentativi di password, dopodiché è necessario un PIN Unlock Key molto più lungo (PUK) per accedere nuovamente alla scheda.

L'aspetto negativo di questo è l'inconveniente. Un sistema di passcode secondario renderà inutilizzabile una serratura, una carta bancaria o un telefono per un certo periodo di tempo. Inoltre, se il PUK non viene archiviato in modo sicuro, potrebbe comportare un rischio per la sicurezza completamente nuovo.

Un sistema alternativo prevede solo un determinato numero di tentativi di password al minuto. Se puoi provare a sbloccare la porta precedentemente menzionata una volta al minuto, ad esempio, occorrerebbero fino a 167 ore per aprire la porta. È quasi esattamente una settimana, e molto probabilmente per impedire a un attaccante di preoccuparsi di provare, o abbastanza a lungo per consentire ai legittimi proprietari di rilevare l'attacco.

Nulla può limitare il numero di ipotesi per le chiavi di crittografia

Tuttavia, la limitazione dei tentativi di password è valida solo per un dispositivo o un servizio online. Se l'attaccante ha accesso a un file crittografato o l'attaccante ha intercettato le tue comunicazioni crittografate, non c'è nulla che possa limitare il numero di ipotesi che possono fare.

L'unica opzione in questi casi è quella di aumentare la lunghezza del passcode, rendendolo più sicuro. Per ogni cifra aggiunta a una password, diventa dieci volte più lungo da indovinare. Un codice di accesso a sei cifre, ad esempio, richiederebbe quasi 12 giorni per decifrare a una supposizione al secondo.

Fare i codici di accesso più lunghi ha un costo, tuttavia, poiché diventano sempre più difficili da ricordare. E quando si tratta di ipotesi pure, i computer possono facilmente indovinare un miliardo di numeri al secondo, quindi i codici di accesso devono essere estremamente lunghi. Un codice di accesso di 18 cifre richiederebbe più di un anno per un computer per indovinare, ma potresti ricordare un codice così a lungo?

La complessità è importante quanto la lunghezza

Consentire passcode più complessi migliora notevolmente la sicurezza. Se consentiamo solo numeri, ci sono solo dieci possibili voci per cifra (0-9). Consentire ulteriormente lettere minuscole aumenta questo a 36 voci per cifra (0-9, a-z). L'aggiunta di lettere maiuscole aumenterà a 62 voci per cifra (0-9, a-z, A-Z).

L'uso della tabella Unicode originale (il set di caratteri latino) aumenterebbe ulteriormente ogni cifra a 95 possibili voci. Consentire ad altri script, come l'arabo o il greco, aumenta rapidamente ulteriormente questo numero.

Ci sono oltre 120.000 caratteri, simboli ed emoji nell'attuale set Unicode, che possono essere usati per una buona password. Basta usare due di questi caratteri insieme per produrre una password con oltre 14 miliardi di possibilità diverse. L'aggiunta di un terzo lo rende un quadrilione di possibilità.

Se supponiamo che un computer sia in grado di indovinare un miliardo di password al secondo, occorrerebbero oltre un milione di secondi per trovare una password di tre caratteri utilizzando il set Unicode, circa 12 giorni. Rendere le password più complesse è tanto potente quanto allungarle, ma sono generalmente molto più facili da ricordare.

utilizzare un gestore di passwordGli umani non sono in grado di essere casuali.

Il casuale è importante, ma gli umani sono cattivi a caso

In realtà, le password sono raramente casuali. Gli umani non riescono sistematicamente a trovare password veramente casuali, rendendo possibili alcune variazioni dell'attacco a forza bruta.

Ad esempio, potremmo scegliere singole parole popolari quando ci viene chiesto di creare una password, riducendo notevolmente la complessità delle nostre password. Mentre ci sono 300 milioni di combinazioni possibili per una password di sei lettere, anche se consentiamo solo lettere minuscole, gli aggressori inizieranno con le parole inglesi più comunemente usate, che spesso danno risultati. Tale attacco si chiama a attacco del dizionario.

Un attacco del dizionario è spesso combinato con la conoscenza delle password più comunemente utilizzate. Conosciamo la popolarità di determinate password da precedenti violazioni delle password. La password 1234, ad esempio, sblocca oltre il 10% di tutti i telefoni. Le password 1111 e 0000, un ulteriore 8%.

Dati tre tentativi di decifrare una password, in teoria c'è uno 0,3% di decifrare la password, ma in pratica è più vicino al 18%.

Dovrebbe aumentare notevolmente la complessità di una password quando determinate lettere vengono sostituite con caratteri speciali, come "Pa $$ w0rd". Tuttavia, il modo in cui gli umani sostituiscono queste lettere è abbastanza prevedibile e non aggiunge molta casualità. È facile indovinare sostituti popolari, come e -> 3, a -> @, o -> 0 o s -> $, quindi controlla per questi. Questo è spesso indicato come sostituzione del personaggio.

Se un computer o un utente malintenzionato ha l'opportunità di conoscere l'utente, può ridurre notevolmente il numero di tentativi richiesti per decifrare la propria password. Molte persone aggiungono le loro date di nascita o anni di nascita alle password. Altri usano il nome del coniuge, del figlio o dell'animale domestico. Alcuni potrebbero mettere in maiuscolo alcuni caratteri o includere semplicemente l'URL del sito per cui usano quella password, cose che un attaccante può facilmente intuire.

Una formula comune per una password è una parola che inizia con una lettera maiuscola, seguita da un numero e termina con un carattere speciale, EG Word1111 !. Se un utente malintenzionato acquisisce una certa conoscenza del proprio bersaglio, potrebbe utilizzare questo modello ma sostituire il contenuto con informazioni pertinenti alla vittima. Questo è chiamato controllo del modello.

La migliore protezione è una password sicura e casuale

Limitare il numero di ipotesi al secondo o il numero totale di ipotesi prima che un account venga bloccato, fa molto per proteggerti dagli attacchi di forza bruta.

Con le chiavi di crittografia tali limitazioni non sono possibili, quindi il modo migliore per difendersi da un attacco di forza bruta è utilizzare un generatore di password casuale, sia come strumento autonomo o come parte di un gestore di password. Puoi anche usare la tecnica Diceware.

Hack su Internet: attacchi di forza bruta e come fermarli
admin Author
Sorry! The Author has not filled his profile.