F5 Networks

Frasi più sicure delle password? Non è detto. Il punto di F5

di pubblicata il , alle 12:51 nel canale Security Frasi più sicure delle password? Non è detto. Il punto di F5

La forza di una determinata password o passphrase non è proporzionale solamente alla sua lunghezza, ma dipende fortemente dalla sua entropia, cioè dalla casualità. La soluzione migliore? Generarle casualmente e affidarsi alla MFA

 

Selezionare password sicure, robuste e complesse è uno dei capisaldi dell'informatica, come ben sanno i lettori di Edge9. Una significativa percentuale degli attacchi informatici, infatti, passa proprio dall'utilizzo di credenziali sottratte o semplicemente "indovinate": per un attaccante spesso basta riuscire a recuperare un accesso, anche di basso livello, alla rete da violare per poi riuscire a muoversi lateralmente e trovare il modo di ottenere maggiori privilegi all'interno dell'infrastruttura. 

Per questo motivo, sono in tanti a suggerire di non utilizzare le classiche password ma di affidarsi alle passphrase, cioè frasi composte da più parole. Ma si tratta di una strategia davvero efficace? Non sempre. Anzi, in certi casi, questo approccio può essere meno sicuro di una password generata casualmente con un numero sufficiente di caratteri. 

autenticazione-2fa

La forza di una password non dipende dalla sua complessità, ma dalla sua entropia

Per comprendere quanto una password può essere robusta ci viene incontro la matematica. Come spiega David Warburton, Principal Threat Research Evangelist (EMEA) di F5, "considerando la velocità con cui i computer moderni possono indovinare le password, si ritiene che sia necessaria una complessità di circa 2128 combinazioni per essere sicuri".

Tradotto in pratica, significa che una tipica password da 8 caratteri non è in grado di garantire una sicurezza accettabile, dal momento che in tal caso le combinazioni possibili sarebbero 238. Aumentando i caratteri a 12 il numero di combinazioni sale a 274, ma siamo ancora molto lontani dalla "complessità" richiesta. 

Una passphrase composta da 4 parole può quindi garantire una maggiore sicurezza? In teoria sì: "se ci inventiamo una passphrase di 4 parole utilizzando solo lettere minuscole, e un set di 27 caratteri includendo lo spazio, una lunghezza della passphrase di 28 ci porta a 2728 tentativi, equivalente su base binaria a circa 2133: finalmente il numero che cercavamo!", sottolinea Warburton. Molto, però, dipende dalle parole scelte, dato che non mancano strumenti molto potenti per hackerare anche le passphrase. Uno di questi è Hashcat, che può essere combinato con un elenco di passphrase note disponibile su GutHub (ne contiene ben 22 milioni). 

Una soluzione alternativa è generare le passphrase da passare ad Hascat usando l'algoritmo Prince, che si basa su un concetto molto semplice: secondo la legge di Zipf, infatti, tutte le lingue umane seguono grosso modo la “regola 80/20”. "Per essere precisi il 18% delle parole più comuni nella nostra lingua costituisce l'80% di tutto ciò che diciamo. Uno strumento di cracking delle password programmato con le prime 1000 parole potrebbe quindi, invece di provare ogni possibile combinazione di caratteri, limitarsi a ogni possibile combinazione di 3-5 frasi di parole nelle prime 1000 parole dizionario. Applicando tale concetto alla lingua inglese per la nostra frase di 4 parole otterremmo un numero massimo di combinazioni che equivale a meno di 260, ovvero molto peggio di una password casuale di 12 caratteri!", prosegue Warburton. 

In pratica, è la stessa matematica a spiegare perché una passphrase non è necessariamente migliore di una password e anzi, in certi casi, può essere più facile da violare. Questo sottolinea un concetto non necessariamente intuitivo: la lunghezza di una password di per sé non è sufficiente a renderla robusta. Una password di 16 caratteri basata su una parola comune, per dire, può essere individuata velocemente usando un attacco di tipo dizionario. E questo vale anche se si utilizzano "trucchetti", per esempio il linguaggio l33t: gli strumenti per il cracking delle password sarebbero in grado di trovarle in breve tempo. Al contrario, una parola chiave più breve, anche solo di 12 caratteri ma generata in maniera casuale, come quelle suggerite dai password manager, tende a garantire una maggiore sicurezza.

C'è anche da dire che se per la passphrase si utilizzassero anche le maiuscole, avremmo uno spazio di, 5328  , ovvero 2160 , che diventano 2167 se si tengono in considerazione anche i numeri. 

Detto questo, Warburton suggerisce sempre di generare le password via software (lo fa anche il password manager di Google, che è gratuito), non riutilizzarle mai e, soprattutto, di affidarsi all'autenticazione a più fattori (MFA), che aggiunge un ulteriore strato di sicurezza rendendo molto più difficile l'accesso anche nel caso siano state compromesse le credenziali. 

31 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium24 Agosto 2022, 13:01 #1
questa$password#secondo&loro€sarebbe@debole?

Io non credo
Yramrag24 Agosto 2022, 13:04 #2
Originariamente inviato da: Opteranium
questa$password#secondo&loro€sarebbe@debole?

Io non credo


Manca almeno una lettera maiscola e un numero
Mechano24 Agosto 2022, 13:32 #3
Mi aspetto già nuguli di "la nebbia agli irti colli" e "lorem ipsum dolor sit amet".
deggial24 Agosto 2022, 13:44 #4
io uso "Password0" per tutto e nessuno mi ha ancora bucato nulla
wolverine24 Agosto 2022, 13:50 #5
z1b1d1bvd40sCh3rzi4m0

Questa è la migliore.
Sandro kensan24 Agosto 2022, 13:55 #6
Originariamente inviato da: Opteranium
questa$password#secondo&loro€sarebbe@debole?

Io non credo


La password che hai immaginato ha questa entropia. Prima di tutto le parole che hai usato sono tra le più comuni e quindi vanno molto sotto il vocabolario delle 1000 parole più comuni.

Facciamo che le tue parole siano dentro il vocabolario delle prime 500 parole elementari. I simboli che hai usato sono quelli della tastiera normale, facciamo che siano tra i 20 simboli speciali.

Calcoliamo l'entropia basandoci su questi dati:

Le "parole generiche" sono 11 mentre il "vocabolario generico" è di 500*20=10'000 simboli, quindi l'entropia è di 1 su 10^44

ovvero 2^146

Mi pare che siamo lì lì:

«considerando la velocità con cui i computer moderni possono indovinare le password, si ritiene che sia necessaria una complessità di circa 2^128 combinazioni per essere sicuri".»

Se riduciamo il numeri di simboli dai 20 a un numero un po' più piccolo e il vocabolario da 500 a un numero un po' più piccolo la tua password è fritta.


Edit:
Dimenticavo un piccolo particolare. La frase "questa password secondo loro sarebbe debole" ha una entropia bassissima in quanto è una frase di senso compiuto ed è una delle frasi che un dizionario di frasi può avere.

Come fare un dizionario di frasi? Molto semplice: si provano tutte le combinazioni delle prime 500 parole del dizionario e si vede quante risultanze da un motore di ricerca come Google o altri, se da molti risultati allora la frase è una frase comune, se ne da pochi allora la frase è una combinazione casuale di parole. Per memorizzare le frasi più comuni con occorre memorizzare l'esatta successione di parole ma solo la posizione nel vocabolario di 500 parole, in questo modo si fa una estrema compressione e si può avere il tutto in poco spazio.
Qarboz24 Agosto 2022, 14:00 #7
Io uso il terzo ritornello di http://www.lalalalalalalalalalalalalalalalalala.com/"][COLOR="Blue"]questa canzone[/COLOR][/URL] e sono in una botte di ferro
Sandro kensan24 Agosto 2022, 14:04 #8
Secondo me una password sicura è solo una password generata casualmente, non importa se ha numeri o simboli ma deve essere generata casualmente ed avere abbastanza entropia che in questo caso coincide con numero di combinazioni dei simboli del vocabolario usato.

Per esempio:

clzracthyvgp

è generata casualmente, quindi ha una entropia di 2^74. Una password analogafatta con parole che abbia come iniziali o finali le lettere clzracthyvgp non avrebbe una entropia estremamente superiore soprattutto se è di senso compiuto.
SpyroTSK24 Agosto 2022, 14:08 #9
Ma và?
Questi di F5 son dei geni eh! Chi avrebbe mai pensato che un'attacco a vocabolario un pò più intelligente che riesce a formare delle frasi prima o poi possa azzeccare la password composta da una frase?

Se però già ci mettiamo 2-4 simboli e 2-4 cifre su una frase da 4 parole in posizioni random, auguri.
SpyroTSK24 Agosto 2022, 14:27 #10
Originariamente inviato da: Sandro kensan
Secondo me una password sicura è solo una password generata casualmente, non importa se ha numeri o simboli ma deve essere generata casualmente ed avere abbastanza entropia che in questo caso coincide con numero di combinazioni dei simboli del vocabolario usato.

Per esempio:

clzracthyvgp

è generata casualmente, quindi ha una entropia di 2^74. Una password analogafatta con parole che abbia come iniziali o finali le lettere clzracthyvgp non avrebbe una entropia estremamente superiore soprattutto se è di senso compiuto.


Infatti l'entropia di una password aumenta drasticamente se:
1) non ci sono caratteri consecutivi o sequenze ripetitive (es: aaab oppure 1aabcbc1)
2) se ci sono più sequenze numerate (es: 46Pi275x0O9)
3) Ci sono caratteri non alfanumerici (A-z 0-9) ad esempio ^?!=)$"%$&/(*][#@ç°~
4) Non ci sono caratteri che possono sostituire lettere (es: C4s@, H0m3)
5) non sono parole di un dizionario.

Per ricordarsi invece, una frase che possa condurre ad una password potrebbe essere:
Iv4Ct3H~.
Io vado A Casa tra 3 Ore circa.
Oppure:
LmMèUSGsx-R
La mia Moto è Una Suzuki Gsx-R

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^