Quando ci si connette ad un sistema informatico, questo richiede la maggior parte delle volte un nome utente (in inglese login o username) e una password per accedervi. Questa coppia login/password forma quindi la chiave che permette di ottenere un accesso al sistema.
Se il nome utente è generalmente automaticamente attribuito dal sistema o dal suo amministratore, la scelta della password è spesso lasciata all'utente. Così, la maggior parte degli utenti, stimando di non avere niente di veramente segreto da proteggere, si accontentano di usare una password facile da ricordare (ad esempio il loro login, il nome del loro coniuge o la loro data di nascita). Ora, anche se i dati sull'account dell'utente non hanno un carattere strategico, l'accesso all'account dell'utente è comunque una porta aperta verso tutto il sistema.
In effetti, dal momento in cui un pirata ottiene un accesso ad un account di un terminale, gli è possibile allargare il suo campo d'azione ottenendo la lista degli utenti autorizzati a connettersi al terminale. Con l'aiuto di strumenti che generano delle password, il pirata può provare un grande numero di password creati casualmente o con l'aiuto di un dizionario (oppure una combinazione dei due). Se trova per caso la password dell'amministratore, ha allora ottenuto tutti i permessi sul terminale.
Inoltre, partendo da un terminale di rete, il pirata può eventualmente ottenere un accesso alla rete locale, il che significa che può designare una mappa degli altri server attraverso quello di cui ha avuto un accesso. Le password degli utenti rappresentano quindi la prima difesa contro gli attacchi verso un sistema, ed è la ragione per la quale è necessario definire una politica in materia di password così da imporre agli utenti la scelta di una password sufficientemente sicura.
La maggior parte dei sistemi sono configurati in maniera da bloccare temporaneamente l'account di un utilizzatore dopo un certo numero di tentativi di connessione infruttuosi. Così, un pirata può difficilmente infiltrarsi in un sistema in questo modo.
Dall'altro lato, un pirata può servirsi del suo meccanismo di auto-difesa per bloccare l'insieme degli account utilizzatori così da provocare un blocco del servizio. Nella maggior parte dei sistemi le password sono immagazzinate in maniera cifrata (criptata) in un file o in un database. Inoltre, quando un pirata ottiene un accesso ad un sistema e ottiene questo file, sarà in grado di forzare la password di un particolare utilizzatore oppure l'insieme degli account utilizzatori.
Viene chiamato «Attacco di forza bruta» (in inglese «brute force attack», talvolta anche attacco esaustivo) forzare una password testando tutte le password possibili. Esistono numerosi strumenti, per ogni sistema operativo. Questi strumenti servono agli amministratori di sistema per provare la solidità delle password dei loro utenti ma il loro uso è spesso dirottato dai pirati informatici per introdursi nei sistemi informatici.
Gli strumenti di attacco di forza bruta possono richiedere delle ore, anche dei giorni, di calcolo con dei terminali equipaggiati con processori potenti. Un'alternativa sta nell'effettuare un «attacco a dizionario». In effetti, la maggior parte delle volte gli utenti scelgono delle password con un significato reale. Con questo tipo di attacco, una password simile può essere crackata in pochi minuti.
L'ultimo tipo di attacchi di questo genere, detto «attacchi ibridi», punta particolarmente le password costituite da una parola tradizionale e seguite da una lettera o da una cifra (come «marshall6»). Si tratta di una combinazione d'attacco di forza bruta e d'attacco a dizionario. Esistono quindi dei mezzi che permettono al pirata di ottenere le password degli utenti:
I key loggers (letteralmente «registratori di tasti»), sono dei software che, quando vengono installati nel computer dell'utente, permettono di registrare la sequenze di tasti premuti dall'utente. I sistemi operativi recenti possiedono delle memorie tampone (buffer), protette e accessibile unicamente dal sistema, che permettono di conservare temporaneamente la password;
L'ingegneria sociale consiste nello sfruttare l'ingenuità degli individui per ottenere delle informazioni. Un pirata può ottenere quindi la password di un individuo facendosi passare per un amministratore di rete oppure al contrario chiamare il team di supporto chiedendo di reinizializzare la password con il pretesto di un'emergenza;
Lo spionaggio rappresenta il metodo più antico. Effettivamente talvolta ad un pirata basta osservare lo schermo dell'utente o sotto la tastiera per ottenere la password. D'altra parte, se il pirata fa parte delle conoscenze della vittima, un semplice colpo d'occhio da dietro le spalle al momento della digitazione della password può permettergli di vederla o indovinarla.
Ovviamente più una password è lunga più sarà difficile da forzare. D'altra parte, una password costituita unicamente da cifre sarà molto più semplice da forzare rispetto ad una con delle lettere:
Una password di 4 cifre corrisponde a 10 000 possibilità (104). Se questa cifra sembra elevata, basta ricordare che un computer dotato di una configurazione di base è capace di forzarla in pochi minuti. Si preferirà così una password di 4 lettere, per la quale esistono 456 972 possibilità (264). Quindi in questa logica, una password che combini cifre e lettere, magari con maiuscole e caratteri speciali, sarà ancora più difficile da forzare.
Password da evitare: il nome utente; il cognome; il nome o quello di un parente (coniuge, figlio, ecc.); una parola del dizionario; una parola al contrario (gli strumenti di forzatura delle password tengono conto di questa possibilità); una parola seguita da una cifra, dell'anno in corso o di un anno di nascita (ad esempio «password1999»).
L'accesso all'account di un solo dipendente di una società può compromettere la sicurezza globale di tutta l'organizzazione. Quindi, qualsiasi società che voglia garantire un livello di sicurezza ottimale deve mettere in opera una reale politica di sicurezza in materia di password. Si tratta soprattutto di imporre ai dipendenti la scelta di una password conforme ad alcune esigenze, ad esempio: una lunghezza minima per la password; la presenza di caratteri speciali; password con minuscole e maiuscole.
D'altra parte è possibile rinforzare questa politica di sicurezza imponendo una durata di scadenza delle password, per costringere gli utenti a modificare regolarmente le loro password. Questo complica così il compito dei pirati che cercano di forzare le password sulla durata. Si tratta quindi di un eccellente mezzo di limitare la durata di vita delle password forzate. Infine, si raccomanda agli amministratori di sistema di utilizzare dei software di forzatura delle password in interno sulle password dei loro utenti per provarne la solidità. Questo deve far parte inoltre della politica di sicurezza e essere messa per iscritto, così da avere l'approvazione della direzione e degli utenti.
Non è saggio avere solo una password, come non lo è avere come codice bancomat lo stesso del proprio telefono cellulare o del codice digitale per il portale dell'edificio. Si consiglia quindi di possedere più password per categoria d'uso, secondo la confidenzialità del secreto che si deve proteggere. Il codice di un bancomat dovrà quindi essere dedicato solamente a questo uso. Invece, il codice PIN di un telefono cellulare può corrispondere a quello del lucchetto di una valigia.
Allo stesso modo, al momento dell'iscrizione ad un servizio in linea che richieda un indirizzo elettronico (ad esempio la newsletter di CCM), si sconsiglia fortemente di scegliere la stessa password che permette di accedere alla messaggeria dato che un amministratore poco scrupoloso potrebbe dare senza problemi un'occhiata alla vostra vita privata.
Foto: © Pixabay.