Cari lettori di Tecnogalaxy, oggi vi parlerò delle tecniche utilizzate per craccare una password.

Come craccare una password?

Per prima cosa spieghiamo come le password vengono salvate.

Se un sito o un programma archivia la vostra password, come Google o Facebook etc. la password generalmente viene archiviata sotto forma di Hash.

Un Hash è un modo sicuro di archiviare le password su basi matematiche. Un Hash è anche un modo di criptare una password, se conosci la logica puoi facilmente decriptarla.

Di seguito i tipi di attacchi utilizzati:

Attacco offline

Prevede che l’attaccante prenda l’hash della password, la salva e nei giorni successivi offline decripta la password.

Attacco online

Il lavoro dell’attacante avviene completamente online. Fare degli attacchi online ad un sito serio, diventa molto difficile, perché molto probabilmente dopo 3-4 tentativi il vostro IP verrà bannato e il gioco sarà terminato. Sarà capitato anche a voi di dimenticarvi la password del vostro account, dopo qualche tentativo tutto si blocca.

Questa tecnica è stata effettivamente creata per proteggere gli utenti dai malintenzionati che provano milioni di volte a scoprire una password.

Per effettuare un attacco online, il malintenzionato probabilmente avrà fatto prima un’analisi dettagliata sul malcapitato, raccogliendo moltissime informazioni (mi ricollego all’articolo sull’OSINT con Maltego), come ad esempio, i nomi dei figli, le date di compleanno, gli indirizzi passati etc…

Da lì, il malintenzionato si costruirà un database di password specifiche per quell’utente, provando una serie di password che hanno una probabilità di successo molto più alta rispetto ai tentativi casuali.

Gli attacchi offline sono molto più minacciosi e prendono luogo quando un file criptato, come un pdf o un documento, è intercettato o quando un hashed key viene trasferita (come nel caso del Wi-Fi). Se copiate un file criptato o un hashed password, un attaccante può portare a casa la chiave e craccarla quando vuole.

Bisogna avere molta pazienza e provare migliaia, milioni, miliardi di password prima di trovare quella giusta.

Ovviamente ci sono delle tecniche che ci vengono in aiuto, come ad esempio:

Attacco dizionario

Gli attacchi con dizionario “Dictionary attack”, sono attacchi che utilizzano un file contenente le password. Di solito i malintenzionati si costruiscono i propri dizionari, (si possono trovare già pronti anche su internet, come ad esempio il famoso rockyou.txt).

Sono file testuali enormi che contengono milioni di password generiche, come ad esempio (ILoveyou, 12345, admin o 123456789 etc..).

Caratteristica di un attacco

Nel caso in cui non si riuscisse a scoprire la password, l’alternativa che verrà utilizzata sarà quella di usare qualche regola generale per provare una serie di combinazioni dalle caratteristiche specifiche.

Questo significa che invece di provare una lista di password, un malintenzionato specificherà una lista di caratteristiche da provare.

Facendo un esempio, se io sapessi che la tua password è costituita esclusivamente da numeri, direi al tool di provare password di soli numeri.

Il tool proverebbe ogni combinazione di numeri fino a trovare quella giusta.

Possiamo anche specificare una serie di ulteriori impostazioni, come la lunghezza minima e quella massima etc.

Tutto ciò snellisce significativamente la mole di lavoro che il tool deve compiere.

Quindi, diciamo che la tua password è di 8 caratteri composta esclusivamente da numeri.

La mia scheda grafica avrebbe bisogno di circa 200 secondi per crackare questa password, se la password includesse lettere e numeri, la stessa password richiederebbe due giorni di lavoro per la decodifica.

Attacco Forza Bruta

Se l’attaccante non ha avuto successo con questi due metodi, può sempre ricorrere alla forza bruta per ottenere ciò che vuole, cioè tentare ogni possibile combinazione di caratteri per arrivare alla password.

Generalmente questo tipo di attacco è poco pratico perché ogni combinazione con un numero di caratteri superiore a dieci richiederebbe anni per essere scoperta!

Attacco Ingeneria sociale

Un’altra tecnica utilizzata sempre di più negli ultimi anni per scoprire le password senza perdere molto tempo, è il phishing, (per maggiori dettagli leggi gli articoli pubblicati in precedenza), dove il malintenzionato utilizzando dei tool con Kali Linux, inganna la vittima ad inserire le proprie credenziali.

Esistono anche molti siti che ci permettono di craccare un hash online, vediamo un esempio pratico:

Supponiamo di aver trovato l’hash 1d51f997fc08294a3590c5419c35ebdbf6f96f02974dc9d729b7c61121d3b790 andiamo sul sito HashKiller, incolliamo l’hash trovato e selezioniamo il pulsante di colore verde.

Se tutto è andato a buon fine ecco il risultato, la password era 123456.

hash decrittato

Come abbiamo potuto vedere, crackare una password non è così difficile come si possa pensare, in teoria si provano semplicemente milioni di password/tecniche prima di arrivare a quella esatta.

Comunque, è importante ricordare che trovare questo ago nel pagliaio è qualche volta davvero impossibile.

La vostra miglior salvezza sarà avere una password lunga e possibilmente unica, non riutilizzata su altri servizi per evitare di farsi craccare la password come abbiamo visto in questo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.