Password e sicurezza


La scorsa settimana abbiamo spiegato molto brevemente e senza molti tecnicismi come vengono conservate le password all'interno di un database.


A questo punto abbiamo tutti gli elementi necessari per comprendere perché non bisogna utilizzare password deboli e inefficaci.


Come abbiamo imparato, quando ci registriamo su un sito la nostra password viene trasformata in un hash.

Per questa ragione, anche in caso la tavola del database dove sono conservati i nostri dati venisse rubata, avremmo un buon margine di protezione.


Tuttavia anche le hash hanno i loro punti deboli, esse sono infatti vulnerabili ad attacchi di tipo "forza bruta".



Un attacco forza bruta consiste nel provare a trasformare delle possibili combinazioni di parole in hash e vedere se una delle hash generate coincide con quella trafugata.


Proviamo a fare un esempio: immaginiamo una cassaforte protetta da un codice a 4 cifre, se non conosciamo quello corretto e non abbiamo modo di reperirlo in alcun modo, l'unica alternativa è provare tutte le possibili combinazioni, un operazione molto lunga per un essere umano, ma non per una macchina.


Questo è quello che fa un attacco forza bruta, provare tutte le combinazioni possibili in cerca di una che faccia scattare il lucchetto; esistono, inoltre, degli strumenti per rendere ancora più potente questo tipo di attacco.



Un esempio può essere quello degli attacchi "dizionario":

essi consistono nell'utilizzare un "dizionario" contenente milioni di parole comunemente usate per le password - in questo caso non si tentano tutte le combinazioni possibili, ma solo quelle esistenti nell'elenco.


In pratica password deboli come "1234" o "1234 password" possono essere mostrate in pochi secondi.


Al contrario, una password molto lunga e complessa potrebbe richiedere moltissimi anni per essere decrittata.


La brutta notizia è che esistono altri metodi che un malintenzionato può utilizzare per rubarci i dati, alcuni dei quali non richiedono nemmeno particolari abilità informatiche, ma ne parleremo nelle prossime settimane.


Ricapitoliamo cosa abbiamo imparato fino ad ora sulle password:


DICO Sì - progetto finanziato dal Ministero dello Sviluppo Economico nell’ambito delle Iniziative a vantaggio dei consumatori, di cui all’articolo 148, comma 1, della legge 23 dicembre 2000, n. 388. DD 26 ottobre 2021.