Gli hacker possono far crollare la nostra password in 30 secondi

I criminali informatici sono capaci di scovare qualsiasi password con meno di 8 caratteri in circa 30 secondi. Come fare per evitarlo?

Viviamo circondati da password. Abbiamo password per accedere al nostro pc del lavoro, alla nostra e-mail, alla banca, alle piattaforme di musica e video in streaming… Tutto ci richiede una password. E come facciamo a ricordarcele tutte?

Gli utenti solitamente agiscono in due modi: o utilizzano la stessa password per tutto o scelgono password facili da ricordare. Ovviamente, entrambe queste due soluzioni sono estremamente sbagliate.

Nel primo caso, la potenziale minaccia ha una portata davvero importante. Se utilizziamo una sola password e questa viene violata, i criminali informatici avranno l’accesso a tutta la nostra vita digitale. Nel secondo caso, se la password è troppo facile da scoprire, gli hacker si conquisteranno l’accesso in pochissimo tempo.

Secondo lo studio di Hive Systems, i criminali informatici sono in grado di far crollare immediatamente qualsiasi password composta da 11 numeri, o da 8 minuscole o da 6 caratteri con maiuscole, minuscole, numeri e simboli speciali. Se aggiungiamo un solo carattere a questa combinazione, impiegheranno solo 31 secondi per eluderla. E se arriviamo a 8 caratteri complessivi, la situazione non migliora di molto: 39 secondi saranno più che sufficienti.

La situazione sembrerebbe migliorare se arriviamo agli 11 caratteri alfanumerici e con simboli, dal momento che questa opzione richiederebbe al malintenzionato informatico circa 34 anni per poter entrare in possesso della password. Se invece aggiungiamo un ulteriore carattere, arrivando a 12 caratteri complessivi, potremo dormire sogni tranquilli, visto che saranno necessari 3.000 anni per scoprirla. O quantomeno questi sono i risultati ottenuti con le capacità di calcolo attuali.

 

“Se la password contiene lettere e simboli speciali come +, -, (, $, @, €, ecc., supera i 10 caratteri complessivi, e non è una parola nota, con i computer attuali il tempo necessario per ottenerla sarebbe così esteso da perdere ogni interesse nello scovarla”, afferma Jordi Serra, professore di Studi di Informatica, Multimedia e Telecomunicazione della Open University of Catalogna.

Più che sulla lunghezza della password, il professore insiste sulla complessità. “Se si tratta di parole che esistono nel dizionario, non inciderà particolarmente la lunghezza. Esistono strumenti che provano combinazioni di parole conosciute aggiungendo anche date. Per il resto, i software in giro creano combinazioni di lettere e di numeri continuamente. Più lettere ci sono, maggiori saranno le combinazioni possibili che dovrà provare prima di trovare quella giusta”, specifica.

In qualsiasi caso, il sistema tradizionale di autenticazione viene visto come superato per la massiccia quantità di password che utilizziamo ogni giorno, motivo per cui sembra chiara la necessità di avanzare verso altri sistemi o, quantomeno, di creare metodi complementari.

Serra spiega che allo stato attuale esistono tre sistemi di identificazione che possiamo riassumere così: “il primo è quello che conosciamo (ossia le password), il secondo è quello che siamo (ossia il sistema biometrico, impronte digitali e così via…), mentre il terzo è quello che abbiamo (un dispositivo unico a cui inviare un codice)”.

Relativamente alla biometria, anche se ha molti vantaggi, il problema è che possano essere acquisiti i dati associati alla lettura. Per esempio, nel caso della nostra impronta digitale, “non possiamo cambiare le caratteristiche del nostro dito per cambiare l’accesso e abbiamo solo 10 dita”. E relativamente all’uso di dispositivi, il professore dell’Università spagnola segnala che in questo caso la sicurezza dipende molto sul fatto che non venga rubato o clonato, anche se riconosce che il principale svantaggio resterebbe l’utilizzabilità, visto che è necessario sempre avere in mano il dispositivo.

Alla luce di ciò, il prof. Serra considera che il metodo migliore sarebbe optare per metodi di autenticazione a doppio fattore o a multifattore (2FA o MFA), che combinano due o più di questi sistemi di identificazione, soluzione che ormai viene integrata sempre più spesso in diversi servizi.