Se pensi che solo perché usi password diverse per servizi diversi sei al sicuro, ripensaci

Secondo la saggezza comune sulle password, dovresti scegliere password diverse per account diversi. Ma se il tuo modo di ricordare le tue password è renderle leggere variazioni l’una dell’altra, potresti rendere la vita degli hacker più facile di quanto pensi.

Leggi questo

Lettore di impronte digitali iPhone 5S: raddoppiare l’identità, una campana a morto per le password?

L’aggiunta da parte di Apple di un lettore di impronte digitali nel suo ultimo smartphone, l’iPhone 5S, fa parte della sua strategia per raddoppiare la sicurezza del dispositivo.

Per saperne di più

La maggior parte delle persone sa che è una cattiva pratica riutilizzare le password su più account poiché gli hacker che rubano un database di password da un servizio possono usarlo per compromettere gli altri account della vittima. Ecco perché Facebook ha setacciato le credenziali dei clienti trapelate da Adobe seguendo un recente hacking del suo database utente e forzato coloro che avevano utilizzato la stessa combinazione di email e password su Facebook per cambiare le loro password .

Coloro che erano nel database di utenti di Adobe le cui credenziali erano state, ma che erano abbastanza saggi da non riutilizzare le loro password per Facebook, si pensa che non abbiano ricevuto lo stesso trattamento.

Tuttavia, una nuova ricerca mostra che c’è un’alta probabilità che le password non identiche si discostino solo leggermente da un account all’altro e probabilmente sono state create utilizzando una delle sette regole di trasformazione che possono essere modellate per aiutare un attacco di password online.

In un nuovo documento di ricercaLa rete aggrovigliata del riutilizzo delle password (PDF), Anupam Das, uno studente di dottorato in informatica presso l’Università dell’Illinois, e i suoi colleghi ricercatori hanno confrontato le coppie di password collegate a poco più di 6.000 indirizzi e-mail che sono apparsi più di una volta in 10 importanti fughe di password su Gawker, Facebook, Hotmail, Yahoo , CSDN.net, militarysingles.com, myspace, youporn.com e porn.com.

I ricercatori hanno scoperto che per quegli indirizzi che sono apparsi almeno una volta, il 43 percento delle password erano identiche, sono le scelte più facili per l’hacker con un database di password trapelato.

Ma si scopre che circa un terzo del 57 percento che aveva password non identiche è anche vulnerabile alla violazione del proprio account. I ricercatori hanno scoperto che il 19% delle coppie di password nel set di dati era basato su una “sottostringa” di un’altra: queste includono operazioni di inserimento o cancellazione all’inizio o alla fine di un’altra password, in modo che la “password” di un account diventi “password1234” all’indirizzo un altro. Nel frattempo, il 38% delle coppie era completamente diverso.

“Non eravamo sicuri se la maggior parte delle password sarebbe stata riutilizzata in modo identico, completamente diversa o leggermente modificata, e si è scoperto che le lievi modifiche sono una categoria importante: circa il 20% di tutte le password sono formate aggiungendo o eliminando caratteri da un password che l’utente ha utilizzato in un altro sito”, ha detto a ZDNet Joseph Bonneau, un googler e ricercatore di sicurezza che è stato coautore del documento.

“Questa è una frazione significativa di tutte le password e per queste la maggior parte segue uno dei pochi modelli di modifica prevedibili. La maggior parte degli utenti ha affermato che si trattava semplicemente di soddisfare le politiche dei diversi siti Web, ma quasi altrettanto spesso ha affermato che si trattava di aumentare la sicurezza. Quindi, gli utenti stanno cercando di aggiungere caratteri a una password di base per sicurezza. Sfortunatamente, il nostro lavoro suggerisce che questo potrebbe non funzionare come previsto dagli utenti”.

Per dimostrare che è possibile indovinare password leggermente diverse, i ricercatori hanno utilizzato regole comuni di trasformazione delle password per creare quello che affermano essere il primo “algoritmo di identificazione delle password tra siti” al mondo. Le regole principali includevano inserimenti, cancellazioni, maiuscole, leet speak (scrivendo ‘password’ come ‘pa$$w0rd’, per esempio) e modifiche di sottoparole, dove ‘darknight’ su un account potrebbe diventare ‘DarkKnight’ su un altro.

Volevano anche dimostrare che poteva essere progettato per un attacco di ipotesi online, che potrebbe, ma spesso non affrontare, ostacoli come i tentativi di accesso che limitano la velocità. (I ricercatori notano che la maggior parte dei siti non limita in modo efficace le ipotesi errate mentre Facebook e Google consentono più di 10 ipotesi in alcune circostanze.)

Secondo i ricercatori, il loro prototipo di algoritmo di ipotesi è stato in grado di decifrare circa il 10% delle coppie di password non identiche in meno di 10 tentativi, che sono saliti al 30% con meno di 100 tentativi.

“Questo ha un vero impatto sulla sicurezza in quanto un utente malintenzionato con una password trapelata e non identica può sferrare un attacco di ipotesi online con un successo di ordini di grandezza superiore rispetto a un utente malintenzionato senza una password trapelata”, osservano Das e la società.

I ricercatori presenteranno il loro articolo alla conferenza NDSS a San Diego nel febbraio 2014.

Per saperne di più

• Quanto sono cattive le 100 migliori password dell’hack di Adobe? (Suggerimento: pensa davvero, davvero male)
• Le password sono l’anello più debole nella sicurezza IT aziendale
• Facebook estrae i dati di violazione di Adobe per le password riutilizzate, avverte gli utenti di cambiarli o scomparire
• Una buona password può ancora superare la sicurezza imprecisa