La scorsa settimana abbiamo spiegato molto brevemente e senza molti tecnicismi come vengono conservate le password all'interno di un database.
A questo punto abbiamo tutti gli elementi necessari per comprendere perché non bisogna utilizzare password deboli e inefficaci.
Come abbiamo imparato, quando ci registriamo su un sito la nostra password viene trasformata in un hash.
Per questa ragione, anche in caso la tavola del database dove sono conservati i nostri dati venisse rubata, avremmo un buon margine di protezione.
Tuttavia anche le hash hanno i loro punti deboli, esse sono infatti vulnerabili ad attacchi di tipo "forza bruta".
Un attacco forza bruta consiste nel provare a trasformare delle possibili combinazioni di parole in hash e vedere se una delle hash generate coincide con quella trafugata.
Proviamo a fare un esempio: immaginiamo una cassaforte protetta da un codice a 4 cifre, se non conosciamo quello corretto e non abbiamo modo di reperirlo in alcun modo, l'unica alternativa è provare tutte le possibili combinazioni, un operazione molto lunga per un essere umano, ma non per una macchina.
Questo è quello che fa un attacco forza bruta, provare tutte le combinazioni possibili in cerca di una che faccia scattare il lucchetto; esistono, inoltre, degli strumenti per rendere ancora più potente questo tipo di attacco.
Un esempio può essere quello degli attacchi "dizionario":
essi consistono nell'utilizzare un "dizionario" contenente milioni di parole comunemente usate per le password - in questo caso non si tentano tutte le combinazioni possibili, ma solo quelle esistenti nell'elenco.
In pratica password deboli come "1234" o "1234 password" possono essere mostrate in pochi secondi.
Al contrario, una password molto lunga e complessa potrebbe richiedere moltissimi anni per essere decrittata.
La brutta notizia è che esistono altri metodi che un malintenzionato può utilizzare per rubarci i dati, alcuni dei quali non richiedono nemmeno particolari abilità informatiche, ma ne parleremo nelle prossime settimane.
Ricapitoliamo cosa abbiamo imparato fino ad ora sulle password:
Perchè è importante avere una password sicura per difendersi dai furti
DICO Sì - progetto finanziato dal Ministero dello Sviluppo Economico nell’ambito delle Iniziative a vantaggio dei consumatori, di cui all’articolo 148, comma 1, della legge 23 dicembre 2000, n. 388. DD 26 ottobre 2021.