Privacy Policy

Ricerca in FOLBlog

La forza di una password

 Scritto da alle 18:07 del 14/03/2008  Aggiungi commenti
Mar 142008
 

image
Un proficuo scambio di idee con Edward ha stimolato la mia curiosità su un argomento che, mi son reso conto, ho accantonato per forse un po’ troppo tempo: la sicurezza.
Ho ripreso alcuni concetti studiati alcuni anni fa (il buon Hacker 5.0 si è rivelato ancora utile) ed ho iniziato una ricerca su Internet, in attesa dell’agognata versione successiva del libro, che prenda in esame anche le novità introdotte da Vista, Windows 2008 Server, Leopard etc etc etc.

Nello sfrugugliamento internettiano che ne è derivato mi sono imbattuto in molti siti interessanti.
Uno in particolare ha attinenza con la chiacchierata bloghiana con Edward: si tratta di un tool online della Microsoft che valuta la forza (Strength) di una password, cioè la difficoltà ad essere scoperta con le tecniche attuali di password cracking (attacchi basati su dizionario, brute-force e ibridi).

Ho fatto alcune prove per verificare le mie convinzioni, frutto di informazioni raccolte tempo fa e quindi passibili di necessità d’aggiornamento.
Primo tentativo con una password lunghissima:
Nel mezzo del cammin di nostra vita mi ritrovai in una selva oscura“.
Secondo la teoria secondo la quale a password più lunga corrisponde una forza della password maggiore, dovrebbe essere a prova di bomba.
Invece, risultato:
image

Faccio una prova testando il metodo che ho suggerito in un articolo di qualche giorno fa: “e17$02%1999F“.
Risultato:
image

La password dal miglior rapporto lunghezza/forza è una password costituita da una sequenza di 8 caratteri simili a questi: “~7x/þA0*” (il 1° e 5° carattere ottenuti rispettivamente premento Alt+0126 e Alt+0254 sul tastierino numerico della tastiera) . Risultato:
image

Raddoppiando la lunghezza della password scrivendo per due volte la medesima sequenza di 8 caratteri di prima (“~7x/þA0*~7x/þA0*“) si ottiene:
image

Una curiosità.
Utilizzando come password “Mi illumino di immenso” si ottiene, com’era prevedibile:
image

Invece utilizzando “Mi illumino d’immenso” (pur essendo più corta di un carattere) si ottiene:
image
L’apice tra “d” ed “immenso” risulta perciò determinante nel migliorare il risultato.

Concludendo, mi pare di poter confermare che la forza di una password è proporzionale alla sua complessità, e solo successivamente alla sua lunghezza.

Una guida su come comporre una strong password è qui

Technorati Tag: sicurezza,password,strenght

Articoli simili:

  3 Risposte a “La forza di una password”

Commenti (3)
  1. Usando Mozilla Firefox Mozilla Firefox 2.0.0.12 con Windows Windows XP

    Bell’articolo: peccato che il link finale alla guida per costruire una password smentisca in parte la tua conclusione e che un risultato sia errato.

    Il primo punto, infatti, e’: “Make it lengthy”, tradotto “Falla lunga”. Inoltre, se il sistema ammette lo spazio, consiglia l’uso di una passphrase che e’ piu’ lunga e difficile da attaccare. Il secondo punto e’: “Combine letters, numbers, and symbols.”, cioe’ “Combina lettere, cifre e simboli.”

    Purtroppo non posso postare immagini, ma la passphrase “Nel mezzo del cammin di nostra vita mi ritrovai in una selva oscura“ e’ segnalata come Medium; paradossalmente “M’illumino di immenso” (con l’apice in seconda posizione) e’ segnalata come BEST: che il Password checker sia semplicemente un indicatore di qualita’ minima basato su criteri statistici senza calcolare le possibili combinazioni della password?
    Comunque, a parita’ di “bonta’” fra la tua sequenza di 16 caratteri random e la passphrase da 20 preferisco sempre quest’ultima, non me ne volere.

    Se hai tempo e voglia, ti propongo un test di penetrazione: installa una copia di Windows (2000, XP, Vista; possibilmente non la famiglia 9x perche’ e’ abbstanza debole) in una macchina virtuale non collegata ad internet, crei due utenti e come password assegni la tua sequenza e la mia “M’illumino di immenso”, che secondo il Password Checker di Microsoft sono molto sicure (entrambe BEST).
    Poi installi L0phtcrack (oppure Cain & Abel), scarichi le rainbow table e lasci che il programma rilevi le password: quella che viene rilevata entro un tempo utile (es una settimana) e’ la piu’ debole.

    Edward

  2. Usando Mozilla Firefox Mozilla Firefox 2.0.0.12 con Windows Windows Vista

    @Edward
    Ieri ho fatto copia & incolla della frase “Nel mezzo del cammin di nostra vita mi ritrovai in una selva oscura” e poi ho catturato la parte di snapshot che ho inserito nell’articolo (e che segnalava la password come “weak”).
    Rifacendo la stessa cosa, ora ottengo, esattamente come come hai segnalato, un valore “medium”.
    Evidentemente ho sbagliato qualcosa ieri (non son riuscito a capire cosa).
    Non è la lunghezza della frase pero’! Si vede anche dallo snapshot.
    Inoltre “M’illumino di “, spazio finale incluso, è anch’essa giudicata una best password (non occorre l’intera poesia) ed è molto più corta (14 caratteri) di quelle giudicata medium (67 caratteri).
    Quindi il tool smentisce l’articolo della stessa Microsoft?
    Non credo. Dipende quale priorità si riconosce ai criteri da seguire.
    Quel che mi pare di aver capito (e che mi pare confermino questi pochi test empirici) è che più della lunghezza è importante il modo con cui la password è composta.
    A parità di complessità, ovviamente, la password più lunga è meglio è.
    Altrimenti non si spiega come mai password così lunghe ottengono rating inferiori a password molto brevi.
    Sei d’accordo?
    Cio’ non toglie che, per qualche meccanismo dell’algoritmo utilizzato, alcune password possano essere scoperte prima di altre.
    Ma questo fatto potrebbe anche dipendere da fattori casuali (il software tenta, casualmente, una combinazione “vincente” prima di un’altra).
    Cio’ che non bisogna perdere di vista è la probabilità statistica (che credo sia quella utilizzata per valutare il rating da attribuire ad una password).

  3. Usando Mozilla Firefox Mozilla Firefox 2.0.0.12 con Windows Windows XP

    Forse hai scritto l’iniziale minuscola e questo ha fornito un risultato diverso: infatti “nel mezzo del cammin di nostra vita mi ritrovai in una selva oscura” risulta Weak.
    Comunque, il rating basso dell’incipit della Divina Commedia probabilmente dipende dal ridotto alfabeto utilizzato (solo lettere minuscole e spazi, cioe’ 27 caratteri): gia’ usando la lettera maiuscola si raddoppia l’alfabeto (26 lettere * 2 + spazio = 53 caratteri) e il rating si alza a Medium. Infine aggiungendo le cifre e la punteggiatura si raggiungono i 70 caratteri. Un semplice “01 – Nel mezzo del cammin” impiega tutto l’alfabeto della passphrase ed e’ ancora BEST.

    Quindi, in risposta alla domanda, indubbiamente l’alfabeto conta: a parita’ di alfabeto la password piu’ lunga e’ piu’ sicura e a parita’ di lunghezza vince l’alfabeto piu’ completo.
    Tuttavia anche una passphrase come “M’illumino di ” risulta BEST ed e’ sia piu’ immediata da ricordare sia piu’ veloce da digitare: quindi il password checker dimosta che password con un alfabeto ridotto sono vulnerabili, non che lo siano le passphrase.

    In secondo luogo un possibile commento riguarda l’attendibilita’ del password checker: non conosciamo l’algoritmo utilizzato per la valutazione, quindi ignoriamo la validita’ del giudizio (es. una password BEST richiede almeno tot combinazioni per essere scoperta? Oppure e’ una analisi statistica basata su lunghezza e alfabeto?).

    Edward

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: