Comprendere le tecniche di cracking delle password utilizzate dagli hacker per far saltare in aria i tuoi account online è un ottimo modo per assicurarti che non ti accada mai.
Sicuramente avrai sempre bisogno di cambiare la tua password, e talvolta più urgentemente di quanto pensi, ma mitigare i furti è un ottimo modo per mantenere la sicurezza del tuo account. Puoi sempre andare su www.haveibeenpwned.com per verificare se sei a rischio, ma pensare semplicemente che la tua password sia abbastanza sicura da non essere violata è una cattiva mentalità da avere.
Quindi, per aiutarti a capire come gli hacker ottengono le tue password, sicure o meno, abbiamo messo insieme un elenco delle prime dieci tecniche di cracking delle password utilizzate dagli hacker. Alcuni dei metodi seguenti sono sicuramente obsoleti, ma ciò non significa che non vengano ancora utilizzati. Leggi attentamente e impara contro cosa mitigare.
Le prime dieci tecniche di cracking delle password utilizzate dagli hacker
1. Attacco del dizionario
L'attacco del dizionario utilizza un semplice file contenente parole che possono essere trovate in un dizionario, da cui il nome piuttosto semplice. In altre parole, questo attacco utilizza esattamente il tipo di parole che molte persone usano come password.
Raggruppare in modo intelligente parole come "letmein" o "superadministratorguy" non impedirà che la tua password venga decifrata in questo modo, beh, non per più di qualche secondo in più.
2. Attacco di forza bruta
Simile all'attacco del dizionario, l'attacco di forza bruta viene fornito con un ulteriore bonus per l'hacker. Invece di usare semplicemente le parole, un attacco di forza bruta consente loro di rilevare parole non dizionari elaborando tutte le possibili combinazioni alfanumeriche da aaa1 a zzz10.
Non è veloce, a condizione che la tua password sia lunga più di una manciata di caratteri, ma alla fine scoprirà la tua password. Gli attacchi di forza bruta possono essere ridotti generando potenza di calcolo aggiuntiva, in termini sia di potenza di elaborazione, incluso lo sfruttamento della potenza della GPU della tua scheda video, sia di numeri di macchina, come l'utilizzo di modelli di calcolo distribuito come i minatori di bitcoin online.
3. Attacco al tavolo arcobaleno
I tavoli arcobaleno non sono così colorati come potrebbe suggerire il loro nome, ma, per un hacker, la tua password potrebbe essere alla fine. Nel modo più diretto possibile, puoi ridurre una tabella arcobaleno in un elenco di hash precalcolati, ovvero il valore numerico utilizzato durante la crittografia di una password. Questa tabella contiene gli hash di tutte le possibili combinazioni di password per un determinato algoritmo di hashing. Le tabelle arcobaleno sono attraenti in quanto riducono il tempo necessario per decifrare un hash di password semplicemente cercando qualcosa in un elenco.
Tuttavia, i tavoli arcobaleno sono cose enormi e ingombranti. Richiedono una seria potenza di calcolo per funzionare e una tabella diventa inutile se l'hash che sta cercando di trovare è stato "salato" con l'aggiunta di caratteri casuali alla sua password prima dell'hashing dell'algoritmo.
Si parla di tavoli arcobaleno salati esistenti, ma questi sarebbero così grandi da essere difficili da usare nella pratica. Probabilmente funzionerebbero solo con un set predefinito di "caratteri casuali" e stringhe di password inferiori a 12 caratteri, poiché altrimenti la dimensione della tabella sarebbe proibitiva anche per gli hacker di livello statale.
4. Phishing
C'è un modo semplice per hackerare, chiedere all'utente la sua password. Un'e-mail di phishing conduce il lettore ignaro a una pagina di accesso contraffatta associata a qualsiasi servizio a cui l'hacker vuole accedere, di solito richiedendo all'utente di risolvere qualche terribile problema con la propria sicurezza. Quella pagina quindi sfiora la loro password e l'hacker può usarla per i propri scopi.
Perché preoccuparsi di decifrare la password quando l'utente te la darà comunque volentieri?
5. Ingegneria sociale
L'ingegneria sociale porta l'intero concetto di "chiedi all'utente" al di fuori della casella di posta in cui il phishing tende a rimanere attaccato e nel mondo reale.
Uno dei preferiti dell'ingegnere sociale è chiamare un ufficio fingendosi un tecnico della sicurezza IT e chiedere semplicemente la password di accesso alla rete. Rimarrai stupito dalla frequenza con cui funziona. Alcuni hanno persino le gonadi necessarie per indossare un abito e un badge con il nome prima di entrare in un'azienda per fare la stessa domanda faccia a faccia alla receptionist.
6. Malware
Un keylogger, o screen scraper, può essere installato da malware che registra tutto ciò che digiti o acquisisce schermate durante un processo di accesso, quindi inoltra una copia di questo file a hacker central.
Alcuni malware cercheranno l'esistenza di un file di password del client del browser Web e copieranno questo che, a meno che non sia adeguatamente crittografato, conterrà password salvate facilmente accessibili dalla cronologia di navigazione dell'utente.
7. Cracking offline
È facile immaginare che le password siano sicure quando i sistemi che proteggono bloccano gli utenti dopo tre o quattro tentativi errati, bloccando le applicazioni di ipotesi automatizzate. Bene, questo sarebbe vero se non fosse per il fatto che la maggior parte dell'hacking delle password avviene offline, utilizzando una serie di hash in un file di password che è stato "ottenuto" da un sistema compromesso.
Spesso il target in questione è stato compromesso tramite un hack su una terza parte, che fornisce quindi l'accesso ai server di sistema e a quegli importantissimi file hash delle password utente. Il cracker di password può quindi impiegare tutto il tempo necessario per provare a decifrare il codice senza avvisare il sistema di destinazione o il singolo utente.
8. Surf sulle spalle
Un'altra forma di ingegneria sociale, la navigazione a spalla, proprio come implica, comporta sbirciare sopra le spalle di una persona mentre sta inserendo credenziali, password, ecc. Sebbene il concetto sia molto low tech, rimarrai sorpreso da quante password e informazioni sensibili viene rubato in questo modo, quindi fai attenzione a ciò che ti circonda quando accedi a conti bancari, ecc. in movimento.
Il più sicuro degli hacker assumerà le sembianze di un corriere di pacchi, di un tecnico dell'aria condizionata o di qualsiasi altra cosa che gli consenta di accedere a un edificio per uffici. Una volta entrati, la “divisa” del personale di servizio fornisce una sorta di pass gratuito per girovagare senza ostacoli e prendere nota delle password inserite da veri membri del personale. Fornisce anche un'eccellente opportunità per osservare tutti quei post-it attaccati alla parte anteriore degli schermi LCD con i dati di accesso scarabocchiati su di essi.
9. Ragnare
Gli hacker più esperti si sono resi conto che molte password aziendali sono costituite da parole collegate all'attività stessa. Lo studio della letteratura aziendale, del materiale di vendita dei siti Web e persino dei siti Web dei concorrenti e dei clienti elencati può fornire le munizioni per creare un elenco di parole personalizzato da utilizzare in un attacco di forza bruta.
Gli hacker davvero esperti hanno automatizzato il processo e hanno permesso a un'applicazione di spidering, simile ai web crawler impiegati dai principali motori di ricerca, di identificare le parole chiave, raccogliere e confrontare gli elenchi per loro.
10. Indovina
Il miglior amico dei cracker di password, ovviamente, è la prevedibilità dell'utente. A meno che non sia stata creata una password veramente casuale utilizzando un software dedicato all'attività, è improbabile che una password "casuale" generata dall'utente sia qualcosa del genere.
Invece, grazie all'attaccamento emotivo del nostro cervello alle cose che ci piacciono, è probabile che quelle password casuali siano basate sui nostri interessi, hobby, animali domestici, famiglia e così via. In effetti, le password tendono a basarsi su tutte le cose di cui ci piace chattare sui social network e persino includere nei nostri profili. È molto probabile che i cracker di password esaminino queste informazioni e facciano alcune ipotesi, spesso corrette, quando tentano di decifrare una password di livello consumer senza ricorrere al dizionario o agli attacchi di forza bruta.
Altri attacchi da cui fare attenzione
Se agli hacker manca qualcosa, non è la creatività. Utilizzando una varietà di tecniche e adattandosi ai protocolli di sicurezza in continua evoluzione, questi intrusi continuano ad avere successo.
Ad esempio, chiunque sui social media ha probabilmente visto i divertenti quiz e modelli che ti chiedono di parlare della tua prima auto, del tuo cibo preferito, della canzone numero uno del tuo 14° compleanno. Sebbene questi giochi sembrino innocui e sono sicuramente divertenti da pubblicare, in realtà sono un modello aperto per domande di sicurezza e risposte per la verifica dell'accesso all'account.
Quando crei un account, forse prova a utilizzare risposte che in realtà non ti riguardano ma che puoi ricordare facilmente. "Qual è stata la tua prima macchina?" Invece di rispondere sinceramente, metti l'auto dei tuoi sogni. Altrimenti, semplicemente non pubblicare alcuna risposta di sicurezza online.
Un altro modo per accedere è semplicemente reimpostare la password. La migliore linea di difesa contro un intruso che reimposta la tua password è utilizzare un indirizzo email che controlli frequentemente e mantenere aggiornate le tue informazioni di contatto. Se disponibile, abilita sempre l'autenticazione a 2 fattori. Anche se l'hacker scopre la tua password, non può accedere all'account senza un codice di verifica univoco.
Domande frequenti
Perché ho bisogno di una password diversa per ogni sito?
Probabilmente sai che non dovresti dare le tue password e non dovresti scaricare alcun contenuto con cui non hai familiarità, ma per quanto riguarda gli account a cui accedi ogni giorno? Supponi di utilizzare la stessa password per il tuo conto bancario che usi per un conto arbitrario come Grammarly. Se Grammarly viene violato, l'utente ha anche la tua password bancaria (e forse la tua email, rendendo ancora più facile l'accesso a tutte le tue risorse finanziarie).
Cosa posso fare per proteggere i miei account?
L'utilizzo di 2FA su qualsiasi account che offre la funzione, l'utilizzo di password univoche per ciascun account e l'utilizzo di una combinazione di lettere e simboli è la migliore linea di difesa contro gli hacker. Come affermato in precedenza, ci sono molti modi diversi in cui gli hacker possono accedere ai tuoi account, quindi altre cose che devi assicurarti di fare regolarmente sono mantenere aggiornati il tuo software e le tue app (per le patch di sicurezza) e evitando download che non conosci.
Qual è il modo più sicuro per conservare le password?
Tenere il passo con diverse password univocamente strane può essere incredibilmente difficile. Sebbene sia molto meglio eseguire il processo di reimpostazione della password piuttosto che avere i tuoi account compromessi, richiede molto tempo. Per proteggere le tue password puoi utilizzare un servizio come Last Pass o KeePass per salvare tutte le password del tuo account.
Puoi anche utilizzare un algoritmo unico per conservare le tue password rendendole più facili da ricordare. Ad esempio, PayPal potrebbe essere qualcosa come hwpp+c832. In sostanza, questa password è la prima lettera di ogni interruzione nell'URL (//www.paypal.com) con l'ultimo numero nell'anno di nascita di tutti i membri della tua casa (solo per fare un esempio). Quando accedi al tuo account, visualizza l'URL che ti darà le prime lettere di questa password.
Aggiungi simboli per rendere la tua password ancora più difficile da hackerare, ma organizzali in modo che siano più facili da ricordare. Ad esempio, il simbolo "+" può essere per qualsiasi account relativo all'intrattenimento mentre il "!" può essere utilizzato per i conti finanziari.
