Nella cyber security l’informazione non è mai troppa e conoscere le tecniche utilizzate dagli hacker per scoprire e decifrare le password è essenziale per adottare misure preventive efficaci. La sicurezza delle password è una parte fondamentale dell’abitare il web. Infatti, una password sicura permette di proteggere i propri dati personali nonché quelli aziendali.
Cerchiamo allora di fare luce ed esplorare le metodologie più comuni impiegate per scoprire e decifrare le password con suggerimenti utili su come proteggersi da minacce come queste.
Come le password proteggono i dati
I passcode sono un oggetto di difesa per i nostri dati personali ma sempre più spesso compiamo l’errore di sceglierli con leggerezza correndo il rischio di diventare facili bersagli per hacker esperti, e poi con l’avvento delle tecnologe di intelligenza artificiale è anche difficile proteggere quelle che riteniamo password sicure oramai. L’efficacia di una password dipende dalla complessità e dall’unicità con cui vengono create.
Dal punto di vista tecnico una password funziona come una chiave digitale che impedisce l’accesso non autorizzato ai nostri account. Quando un utente inserisce la propria password in un servizio online, questa viene trasformata in un codice crittografato attraverso un algoritmo di hashing che la rende illeggibile per chiunque non sia autorizzato.
Il sistema verifica quindi l’hash della password immessa con quello salvato nei propri database per concedere o negare l’accesso. Più una chiave di accesso è lunga e contiene caratteri diversi, più difficile sarà per un hacker riuscire a indovinarla attraverso metodi di attacco strategici.
Proprio per questo si consiglia sempre di utilizzare dei codici di accesso unici per ogni account e strumenti come l’autenticazione a due fattori aggiunge ulteriori livelli di protezione che riducono drasticamente il rischio di violazioni.
Vediamo ora però come fanno gli hacker a scoprire e decifrare le chiavi di accesso e quali metodi utilizzano e perché no, anche quali metodi potremmo noi stessi utilizzare per scoprire una nostra password persa piuttosto che ricrearla da capo, anche sol per scommessa o per vedere se abbiamo del tutto capito i procedimenti da mettere in atto.
Come gli hacker scoprono le password
Decifrare un passcode è un’operazione che non avviene per caso: esistono metodologie precise che combinate con l’uso di software avanzati e persino intelligenza artificiale, rendono il processo sempre più efficace. Se il codice di accesso è di 8 caratteri minuscoli è molto semplice, a un hacker basterà provare sistematicamente tutte le combinazioni possibili di lettere, numeri e simboli fino a individuare quella corretta.
La velocità di questi attacchi dipende fortemente dalla lunghezza e dalla complessità della chiave di accesso ma anche dalla potenza del computer utilizzato e dalla presenza di protezioni come i tentativi di accesso limitato. Per questo motivo combinazioni lunghe e complesse sono più efficaci contro questi tipi di attacchi.
Quali sono le tecniche più usate dagli hacker?
Un altro metodo utilizzato dagli hacker sfrutta il dizionario ovvero elenchi di parole comunemente usate come password tra cui ad esempio “password123” o “qwerty”. Gli hacker provano queste combinazioni sperando che l’utente abbia scelto una password semplice e prevedibile.
Altro discorso figura il credential stuffing: molti utenti utilizzano la stessa password su più siti. Quando un database di credenziali viene compromesso e diffuso nel dark web, i criminali informatici lo utilizzano per provare le stesse combinazioni su altri servizi come email e social.
Hacker più esperti possono utilizzare gli hash della password per confrontarli con quelli presenti nelle tabelle di hash pre-computati e risalire alla password in chiaro in pochi secondi. Infine ci sono le tecniche di phishing ovvero tecniche in cui l’utente stesso fornisce la propria password volontariamente su pagine web che imitano servizi reali in cui l’utente inserisce le proprie credenziali. Sempre più spesso l’ingegneria sociale sfrutta le manipolazioni psicologiche per ottenere informazioni sensibili.
La combinazione di algoritmi di forza bruta e di algoritmi di ipotesi è davvero molto potente: gli algoritmi di ipotesi intelligenti sono addestrati su set di dati e sono in grado di calcolare la frequenza delle varie combinazioni di caratteri ed elaborano ipotesi su quelle più comuni. Secondo uno studio questi algoritmi possono decriptare il 45% di password in un minuto e il 59% in un’ora, solo il 23% potrebbe richiedere un anno di tempo.
L’intelligenza artificiale e il cracking delle password
Negli ultimi anni, l’uso dell’Intelligenza Artificiale ha rivoluzionato il modo in cui vengono violate le chiavi di accesso a molti siti o strumenti online. Strumenti come PassGAN, un sistema basato su reti neurali generative, analizzano milioni di password compromesse per creare modelli predittivi. Questi software riescono a individuare schemi ricorrenti nei codici di accesso umani, aumentando esponenzialmente la velocità con cui possono essere decifrate.
Secondo studi recenti, l’81% dei passcode può essere violato in meno di un mese utilizzando tecnologie basate sull’AI. Questo dimostra come le vecchie pratiche di sicurezza, come scegliere una password “difficile da ricordare ma facile da indovinare”, siano ormai obsolete.
Come scoprire una password in modo legale
Può capitare di avere dei problemi a ritrovare le proprie chiavi di accesso, un po’ perché se sono lunghe e complesse è molto facile dimenticarle oppure perché non sono state segnate da principio. Esistono molti strumenti in grado di aiutare a scoprire una chiave di accesso dimenticata, il primo tra tutti è il gestore delle password di Google.
Questo strumenti aiuta a ritrovare i vari passcode salvati e permette anche di eseguire il controllo delle password per verificare che non siano state compromesse. Per trovare la propria password smarrita basta indicare il sito web di riferimento ed effettuare l’accesso al proprio account Google per visualizzare, modificare o eliminare i diversi codici di accesso. Quello di Google è uno strumento utile anche per generare password complesse che vengono salvate in memoria e possono essere trovate con facilità.
Per vedere le chiavi di accesso che invece sono salvate su Windows è necessario entrare nella Gestione credenziali, sezione che raccoglie le password di siti, applicazioni e reti WiFi. Basta quindi ricercare le diverse chiavi di accesso in categorie come Credenziali Web o Credenziali Windows e accedere all’account Windows per visualizzarle tutte.
Discorso molto simile per quanto riguarda scoprire una password su Mac in cui basta andare sul menu Apple e scegliere la voce Preferenze di Sistema. Qui si accede con il codice di accesso dell’utente Apple o con il TouchID se disponibile ed è possibile visualizzare l’elenco con le credenziali da aprire e visualizzare, e volendo anche modificare all’occorrenza. Apple consente anche di salvare le proprie password nello strumento portachiavi iCloud.
Puoi recuperare password dimenticate anche dal tuo stesso browser. Questi programmi integrano un sistema di gestione dedicato come servizio integrato e alla quale è possibile risalire tramite le Impostazioni di qualsiasi browser, che sia Google Chrome, Microsoft Edge oppure Firefox o Safari sia da pc che da smartphone.
Quali sono i migliori strumenti per decifrare una password?
Vediamo adesso a titolo esemplificativo e di conoscenza quali sono i principali strumenti che utilizzano gli hacker per decifrare un passcode. Questi strumenti di cracking lavorano in modo quasi automatico, utilizzano algoritmi avanzati e tecniche di apprendimento automatico e rendono più facile l’accesso a quelli che sono i dati di una password non ben costruita. Se ci si sofferma a pensarci ercare di decifrare un codce è un po’ come voler tradurre un articolo in un’altra lingua: diventa facile se sai che strumenti utilizzare.
JTR
JTR o John the Ripper è uno degli strumenti più utilizzati, si bnasa su semplici comandi ed è in grado di rilevare tantissimi hash oltre a supportare un’ampissima varietà di cifrari crittografici. Questo sistema è popolare anche perché gratuito, open source e con molte possibilità di personalizzazione, ne esiste ovviamente anche una versione pro ma di solito basta quella “normale” per crackare la maggior parte delle password.
Cain & abel
Cain è uno strumento molto simile a JTR e funziona particolarmente bene sui dispositivi Windows, per coloro poi che vogliono utilizzarlo ha un grande vantaggio: una interfaccia completamente intuitiva e molte funzioni automatizzate.
Come dice il suo stesso nome questo software non si occupa solo di crittografia e algoritmi ma può portare anche attacchi di forza bruta per forzare i passcode degli utenti ed è molto interessante la sua scoperta.
Hashcat
Altro esempio di software molto utilizzato per questo di attacchi e che può essere di accesso comune per molti utenti. Usa principalmente la crittografia hash, ma supporta molti altri metodi. In più ha un vantaggio su molti competitor ovvero riesce a decifrare la maggior parte delle password in tempi molto brevi, di solito se non è così è perché si è scelta una chiave di protezione molto potente.
Come creare password forti e proteggere i dati
Se gli hacker hanno a disposizione strumenti sempre più sofisticati allora diventa fondamentale adottare misure di protezione adeguate per i propri account. Creare chiavi di accesso sicure non è sempre facile ma l’importante è seguire due regole fondamentali: la lunghezza e la complessità. Una chiave di accesso sicura è lunga almeno 12-16 caratteri e contiene una combinazione di lettere maiuscole, minuscole, numeri e simboli speciali. Ricorda di evitare parole comuni o sequenze prevedibili per rendere il lavoro degli hacker più difficile.
Per migliorare la sicurezza è possibile utilizzare un gestore di passcode, ovvero dei software che aiutano a creare e conservare le proprie chiavi di accesso complesse in modo sicuro evitando la necessità di memorizzarle tutte manualmente.
Uno degli strumenti di protezione più utile resta senza dubbio l’autenticazione a due fattori (2FA) che in pratica aggiunge un ulteriore livello di sicurezza richiedendo un secondo codice inviato al proprio telefono o generato casualmente e a tempo limitato da un’app dedicata. Questo rende praticamente impossibile accedere a un account anche se la password viene rubata.
