Password: w£7fRd*T è meglio di "ciao"
Posted: 28/03/2006 15:09
Spesso mi dicono che sono fissato. Per le password. Che le faccio troppo complesse, difficili da ricordare, e poi "che diavolo avrò mai da proteggere"? Dall'altra parte spesso mi ritrovo persone che si chiamano Mario Rossi, e che utilizzano come password "mario" oppure "rossi".
Non so se si tratti di paranoia la mia, ma l'idea che qualcuno possa entrare nella mia posta o leggere i miei dati o dare un'occhiata alle mie foto, non mi piace per niente.
Per questo proteggo i miei dati, e ricorro a password complesse e alla crittografia.
Visto che spesso viene sottovalutata l'importanza di una password (e ne viene sopravvalutata l'efficacia), ho pensato di mostrarvi le differenze fra una password semplice ed una complessa.
Per l'esperimento, la forzatura di una password, non mi avvarrò di alcuno strumento illegale, ma di un semplice programma di recovery password per zip.
Scopo dell'esperimento è mostrare la differenza di affidabilità fra password semplici (tipo "ciao") e password complesse (tipo "C*a0")
Come molti di voi sapranno, è possibile proteggere i propri file zippati con una password. Ecco. Esistono dei software assolutamente legali, che permettono, in caso di smarrimento, di recuperare la password ed aprire quindi gli zip.
Questi software "attaccano" lo zip, provando tutte le combinazioni possibili.
Ad esempio comincerà con: a, b, c, d, .... fino a "z", e poi proseguirà tentando password di due lettere: aa, ab, ac, ..... e via di questo passo.
Fra le opzioni del software, potrò andare a configurare di attaccare lo zip provando lettere, numeri, caratteri speciali e lettere maiuscole. Naturalmente più variabili metterò più sarà lungo l'attacco.
Prendiamo quindi un file zip protetto e vediamo la differenza fra le diverse password. Per semplificare le cose scegliamo una password di soli 6 caratteri.
Postulato numero uno: la maggior parte delle persone utilizza password letterali. Il nome del cane, della figlia, del fidanzato, di un cantante famoso.
Quindi nel mio primo attacco, setterò il software in modo che cerchi provando solo le lettere.
Un esempio di password di sei lettere può essere: andrea, catena, papero, flauto. Io ho scelto di proteggere lo zip con una password di sei lettere senza senso compiuto: dokqbu
Che ne dite? Una bella password, vero? Non è una parola di senso compiuto, non ha a che vedere con nome e cognome, insomma: non è possibile tirare a indovinare e azzeccarla. Ma vediamo quanto ci mette un programma a forzarla.
48 secondi. Il software ci ha impiegato 48 secondi.
Naturalmente io ho cercato partendo dal postulato numero uno, ossia ho detto al programmino di cercare utilizzando solo le lettere.
Beh, quarantotto secondi sono davvero pochini.
Okay, passiamo al secondo attacco.
Postulato numero due: dopo le password "solo lettere", le persone sono solite usare password con lettere+numeri.
esempi di password lettere e numeri: gemelli78, fede74, luca123
Utilizziamo la password di prima (in modo da rimanere sempre sui 6 caratteri) e sostituiamo una lettera con un numero: dokqb3
Applichiamo il postulato numero due e attacchiamo lo zip
Questa volta ci ha messo 6 minuti (circa). E' sempre una tempo molto basso, ma il rapporto fra una password solo lettere e una lettere+numeri fa riflettere.
Okay, adesso prendiamo la stessa password e mettiamoci lettere+numeri+simboli+maiuscolo: quindi la password sarà: Dokq5*
Ripeto: la password è SEMPRE di 6 caratteri.
Attacchiamo
Come da figura, dopo ben 4 ore e 26 minuti, la password non è ancora stata trovata (e dallo scorrere del Count posso stimare che girerà ancora per parecchie ore )
Note e conclusioni
Abbiamo lavorato sempre su una password di sei caratteri. Ottenendo 3 risultati diversi (48 secondi, 6 minuti, ??? ore...). Naturalmente per una password di sette caratteri, i tempi si allungheranno esponenzialmente (pensate a tutte le combinazioni possibili), e via via con otto, nove, dieci caratteri, fino a rendere il recupero così lungo da essere impossibile (settimane, mesi, anni).
Senza necessariamente stare quindi a impazzire con programmi di crittografia (come fa il sottoscritto ), il mio consiglio è quindi di scegliere sempre password di ALMENO otto caratteri, e mescolare lettere, numeri, simboli e maiuscolo.
Non so se si tratti di paranoia la mia, ma l'idea che qualcuno possa entrare nella mia posta o leggere i miei dati o dare un'occhiata alle mie foto, non mi piace per niente.
Per questo proteggo i miei dati, e ricorro a password complesse e alla crittografia.
Visto che spesso viene sottovalutata l'importanza di una password (e ne viene sopravvalutata l'efficacia), ho pensato di mostrarvi le differenze fra una password semplice ed una complessa.
Per l'esperimento, la forzatura di una password, non mi avvarrò di alcuno strumento illegale, ma di un semplice programma di recovery password per zip.
Scopo dell'esperimento è mostrare la differenza di affidabilità fra password semplici (tipo "ciao") e password complesse (tipo "C*a0")
Come molti di voi sapranno, è possibile proteggere i propri file zippati con una password. Ecco. Esistono dei software assolutamente legali, che permettono, in caso di smarrimento, di recuperare la password ed aprire quindi gli zip.
Questi software "attaccano" lo zip, provando tutte le combinazioni possibili.
Ad esempio comincerà con: a, b, c, d, .... fino a "z", e poi proseguirà tentando password di due lettere: aa, ab, ac, ..... e via di questo passo.
Fra le opzioni del software, potrò andare a configurare di attaccare lo zip provando lettere, numeri, caratteri speciali e lettere maiuscole. Naturalmente più variabili metterò più sarà lungo l'attacco.
Prendiamo quindi un file zip protetto e vediamo la differenza fra le diverse password. Per semplificare le cose scegliamo una password di soli 6 caratteri.
Postulato numero uno: la maggior parte delle persone utilizza password letterali. Il nome del cane, della figlia, del fidanzato, di un cantante famoso.
Quindi nel mio primo attacco, setterò il software in modo che cerchi provando solo le lettere.
Un esempio di password di sei lettere può essere: andrea, catena, papero, flauto. Io ho scelto di proteggere lo zip con una password di sei lettere senza senso compiuto: dokqbu
Che ne dite? Una bella password, vero? Non è una parola di senso compiuto, non ha a che vedere con nome e cognome, insomma: non è possibile tirare a indovinare e azzeccarla. Ma vediamo quanto ci mette un programma a forzarla.
48 secondi. Il software ci ha impiegato 48 secondi.
Naturalmente io ho cercato partendo dal postulato numero uno, ossia ho detto al programmino di cercare utilizzando solo le lettere.
Beh, quarantotto secondi sono davvero pochini.
Okay, passiamo al secondo attacco.
Postulato numero due: dopo le password "solo lettere", le persone sono solite usare password con lettere+numeri.
esempi di password lettere e numeri: gemelli78, fede74, luca123
Utilizziamo la password di prima (in modo da rimanere sempre sui 6 caratteri) e sostituiamo una lettera con un numero: dokqb3
Applichiamo il postulato numero due e attacchiamo lo zip
Questa volta ci ha messo 6 minuti (circa). E' sempre una tempo molto basso, ma il rapporto fra una password solo lettere e una lettere+numeri fa riflettere.
Okay, adesso prendiamo la stessa password e mettiamoci lettere+numeri+simboli+maiuscolo: quindi la password sarà: Dokq5*
Ripeto: la password è SEMPRE di 6 caratteri.
Attacchiamo
Come da figura, dopo ben 4 ore e 26 minuti, la password non è ancora stata trovata (e dallo scorrere del Count posso stimare che girerà ancora per parecchie ore )
Note e conclusioni
Abbiamo lavorato sempre su una password di sei caratteri. Ottenendo 3 risultati diversi (48 secondi, 6 minuti, ??? ore...). Naturalmente per una password di sette caratteri, i tempi si allungheranno esponenzialmente (pensate a tutte le combinazioni possibili), e via via con otto, nove, dieci caratteri, fino a rendere il recupero così lungo da essere impossibile (settimane, mesi, anni).
Senza necessariamente stare quindi a impazzire con programmi di crittografia (come fa il sottoscritto ), il mio consiglio è quindi di scegliere sempre password di ALMENO otto caratteri, e mescolare lettere, numeri, simboli e maiuscolo.