Quanto tempo serve agli hacker per “bucare” la tua password?

Con l’aumento della potenza di calcolo dei computer moderni, la velocità con cui gli aggressori informatici possono indovinare le password è aumentata in modo spaventoso.

A fronte di questo rischio, è importante conoscere le tecniche utilizzate dagli hacker e adottare misure di protezione adeguate, al fine di proteggere le proprie credenziali. In questo articolo, vedremo come fanno gli hacker a bucare le password con così tanta facilità, quali tecniche utilizzano e quali sono le strategie che possiamo attuare per proteggerci in modo più efficace.

Tecniche di attacco utilizzate dagli hacker

Attacchi brute-force

L’attacco brute-force è una tecnica basata sull’utilizzo di centinaia di migliaia di combinazioni possibili di caratteri, allo scopo di trovare la password corretta. Questo metodo può sembrare un po’ goffo e sempliciotto (da qui il suo nome), ma con sistemi hardware avanzati, come le GPU moderne ad alta capacità di calcolo, possono essere sufficienti pochi secondi per centrare il bersaglio.

Nella pratica, con una scheda in grado di elaborare fino a 164 miliardi di hash al secondo, è possibile craccare una password di otto caratteri contenente solo lettere minuscole e numeri in meno di 20 secondi. Come è facile intuire, i tempi si allungano e di molto, al crescere della lunghezza e della complessità della password.

Attacchi a dizionario

Gli attacchi a dizionario utilizzano una serie sconfinata di password comuni, spesso ottenute da elenchi frutto di data breach e violazioni passate. Gli hacker provano queste password predefinite contro un sistema “target”, nella speranza di andare a segno. Questo tipo di offensiva è molto efficace contro password deboli e banali.

Phishing e ingegneria sociale

Il phishing è una tecnica di social engineering, in cui gli attaccanti inducono gli utenti a fornire le proprie credenziali; questo avviene attraverso siti web falsi che imitano quelli affidabili, ma anche attraverso l’invio di email o altre comunicazioni nelle quali si finge di essere dipendenti di un istituto di credito o di un altro servizio simile.

Nel momento in cui l’utente inserisce la propria password, questa viene catturata dall’hacker. L’ingegneria sociale sfrutta la psicologia umana, piuttosto che le falle tecniche, per ottenere informazioni sensibili.

Quanto tempo serve per “bucare” una password?

La velocità con cui una password può essere violata dipende da vari fattori, fra cui in primis la sua complessità. Ecco alcuni esempi:

• Password di sei caratteri con sole lettere minuscole: bastano meno di 10 minuti.
• Password di otto caratteri con lettere maiuscole, minuscole e numeri: in media servono circa 8 ore.
• Password di dodici caratteri con lettere maiuscole, minuscole, numeri e simboli: possono servire oltre 1.000 anni con un attacco brute-force.

Strategie per proteggere i propri account digitali

Utilizzare password complesse e lunghe

Le password dovrebbero essere lunghe almeno dodici caratteri e includere una combinazione di lettere maiuscole, minuscole, numeri e simboli. Una password complessa e lunga complica la vita a qualsiasi hacker.

Gestore delle password

Un gestore delle password (o password manager) è uno strumento che genera e memorizza password complesse per i tuoi account e i profili online. Le credenziali vengono conservate in un database criptato, permettendoti di accedere a tutti i tuoi profili con una sola password principale.

Autenticazione a 2 fattori (2FA)

L’autenticazione a due fattori aggiunge uno strato di sicurezza in più, “complicando” la procedura di accesso con un secondo elemento di verifica oltre alla password. Può trattarsi di un codice inviato al numero di telefono dell’utente, all’indirizzo email oppure creato da un’app specifica come Google Authenticator.

Sistemi biometrici

La biometria utilizza caratteristiche biologiche uniche, come impronte digitali o riconoscimento facciale, nelle procedure di login.

Protezione delle password

I sistemi di sicurezza dovrebbero far leva sulle ultime tecnologie per proteggere le password degli utenti, come ad esempio:

• Hashing: la password viene trasformata in una stringa unica di caratteri tramite una funzione di hash. Questa stringa è memorizzata nel database, così che la password vera e propria non sia presente in chiaro in alcun sistema.
• Salting: viene aggiunta una stringa casuale alla password prima dell’hashing per garantire che password identiche non producano lo stesso hash.
• Crittografia: le password e i dati sensibili dovrebbero essere crittografati durante la trasmissione e la conservazione per prevenire accessi non autorizzati.

Importanza delle buone pratiche

Oltre a quanto detto finora, non bisogna trascurare l’importanza delle buone abitudini:

• Non riutilizzare le password: scegli sempre credenziali uniche su ogni account per evitare che la violazione di una di queste provochi la caduta di tutti gli account a cascata.
• Aggiornare le password regolarmente: cambiarle periodicamente può limitare la finestra di tempo utile dal momento del furto all’effettivo impiego.
• Evitare password ovvie: non bisognerebbe mai affidarsi a password banali come “123456”, “password” o contenenti il proprio nome di battesimo.