Le più popolari tecniche di cracking della password: impara a proteggere la tua privacy

Ci sono molti modi per entrare in un account. Il cracking della password è uno di questi – comporta l’utilizzo di vari metodi computazionali e di altro tipo per superare il passaggio di autenticazione della password. In questo articolo parleremo di varie tecniche di cracking della password. Al giorno d’oggi, si possono anche trovare strumenti specializzati per il cracking delle password, che non devono essere usati solo per scopi malvagi. Ma prima di scendere nei dettagli, discutiamo cos’è il password cracking.

Che cos’è il password cracking e come funziona?

Password cracking significa recuperare le password da un computer o dai dati che un computer trasmette. Non deve essere un metodo sofisticato. Un attacco brute-force in cui vengono controllate tutte le combinazioni possibili è anche password cracking.

Se la password è memorizzata come testo in chiaro, hackerare il database dà all’attaccante tutte le informazioni dell’account. Tuttavia, ora la maggior parte delle password sono memorizzate utilizzando una funzione di derivazione della chiave (KDF). Questo prende una password e la fa passare attraverso un cifrario a senso unico, creando ciò che è noto come “hash”. Il server memorizza la versione hash della password.

È facile provare diverse password hash ad un tasso elevato quando si usa una GPU o una botnet. Questo è il motivo per cui la maggior parte delle funzioni di hash delle password utilizzano algoritmi di key stretching, che aumentano le risorse (e, quindi, il tempo) necessarie per un attacco brute-force.

Alcuni metodi di cracking delle password diventano significativamente più difficili se la password utilizza salting o key stretching. Sfortunatamente, ci sono ancora alcuni servizi che memorizzano password non criptate o debolmente criptate sui loro server.

Strumenti per il cracking delle password

Nessun cracking di password inizia senza strumenti adeguati. Quando si deve indovinare tra miliardi di combinazioni, un po’ di assistenza computazionale è più che benvenuta. Come sempre, ogni strumento ha i suoi pro e i suoi contro.

Ma prima di iniziare il cracking, è necessario avere l’hash della password. Ecco alcuni degli strumenti più popolari per ottenere l’hash:

  • Mimikatz. Conosciuto come un’app di controllo e recupero delle password, Mimikatz può essere utilizzato anche per il recupero dell’hash maligno. Infatti, potrebbe anche estrarre password in chiaro o codici PIN.
  • Wireshark. Wireshark ti permette di fare packet sniffing, che è il numero dieci della nostra lista di tecniche di password cracking di cui sopra. Wireshark è un premiato analizzatore di pacchetti usato non solo dagli hacker ma anche da istituzioni commerciali e governative.

  • Metasploit. Questo è un popolare framework di test di penetrazione. Progettato per i professionisti della sicurezza, Metasploit può anche essere usato dagli hacker per recuperare gli hash delle password.

E ora arrivano i più popolari strumenti di password cracking in nessun ordine particolare.

John the Ripper

Costruito in molte liste di strumenti popolari per il cracking delle password, John the Ripper è un’applicazione gratuita, open-source, basata su comandi. È disponibile per Linux e macOS, mentre gli utenti Windows e Android ottengono Hash Suite, sviluppato da un collaboratore.

John the Ripper supporta una lista enorme di diversi tipi di cifrari e hash. Alcuni di questi sono:

  • Unix, macOS, e le password degli utenti Windows
  • Applicazioni web
  • Server di database
  • Catture di traffico di rete
  • Chiavi private criptate
  • Dischi e filesystem
  • Archivi
  • Documenti

C’è anche una versione Pro con funzioni extra e pacchetti nativi per gli OS supportati. Le liste di parole utilizzate nel cracking delle password sono in vendita, ma sono disponibili anche opzioni gratuite.

Cain & Abel

Scaricato quasi 2 milioni di volte dalla sua fonte ufficiale, Cain & Abel è un altro strumento popolare per il cracking delle password. Ma al contrario di John the Ripper, utilizza l’interfaccia grafica, rendendolo immediatamente più user-friendly. Questo e il fatto che è disponibile solo su Windows rende Cain & Abel uno strumento da utilizzare per i dilettanti, noto anche come script kiddies.

Questo è uno strumento multiuso, capace di molte funzioni diverse. Cain & Abel può agire come un analizzatore di pacchetti, registrare VoIP, analizzare i protocolli di rotta, o eseguire la scansione delle reti wireless e recuperare i loro indirizzi MAC. Se avete già l’hash, questo strumento offrirà un’opzione di attacco a dizionario o a forza bruta. Cain & Abel può anche visualizzare le password che si nascondono sotto gli asterischi.

Ophcrack

Ophcrack è uno strumento gratuito e open-source per il cracking delle password, specializzato negli attacchi con la rainbow table. Per essere più precisi, cracca gli hash LM e NTLM, dove il primo si rivolge a Windows XP e ai sistemi operativi precedenti e il secondo si associa a Windows Vista e 7. NTLM è anche disponibile, in una certa misura, su Linux e freeBSD. Entrambi questi tipi di hash sono insicuri – è possibile craccare un hash NTLM in meno di 3 ore con un computer veloce.

Come potete vedere nello screenshot qui sopra, Ophcrack ha impiegato solo sei secondi per craccare una password di 8 simboli, utilizzando una tabella arcobaleno che include lettere, numeri e maiuscole. Questo è ancora più variabile di una password tradizionale.

Questo strumento viene fornito con tabelle arcobaleno gratuite per Windows XP/Vista/7 e una funzione di attacco brute force per le password semplici. Ophcrack è disponibile su Windows, macOS e Linux.

THC Hydra

Forse il punto di forza di THC Hydra non è il possibile numero di teste che può far crescere, ma il numero di protocolli che supporta e che sembra essere in crescita! Questo è uno strumento open-source per il cracking delle password di accesso alla rete che funziona con Cisco AAA, FTP, HTTP-Proxy, IMAP, MySQL, Oracle SID, SMTP, SOCKS5, SSH e Telnet, solo per citarne alcuni.

I metodi disponibili con THC Hydra includono attacchi a forza bruta e a dizionario, utilizzando anche liste di parole generate da altri strumenti. Questo password cracker è noto per la sua velocità grazie al test di combinazione multi-thread. Può anche eseguire controlli su diversi protocolli contemporaneamente. THC Hydra è disponibile su Windows, macOS e Linux.

Hashcat

Posizionandosi come il più veloce password cracker del mondo, Hashcat è uno strumento gratuito open-source che è disponibile su Windows, macOS e Linux. Offre una serie di tecniche, dal semplice attacco di forza bruta alla maschera ibrida con wordlist.

Hashcat può utilizzare sia la CPU che la GPU, anche contemporaneamente. Questo rende il cracking di più hash contemporaneamente molto più veloce. Ma ciò che rende questo strumento veramente universale è il numero di tipi di hash supportati. Hashcat può decifrare MD5, SHA3-512, ChaCha20, PBKDF2, Kerberos 5, 1Password, LastPass, KeePass, e molti altri. Infatti, supporta oltre 300 tipi di hash.

Tecniche di cracking delle password usate dagli hacker

Naturalmente, gli hacker vogliono usare il metodo più semplice disponibile per il cracking delle password. Più spesso che no, quel metodo è il phishing, descritto in dettaglio qui sotto. Finché l’uomo è l’anello più debole di qualsiasi sistema di sicurezza, prenderlo di mira è la scommessa migliore. Se questo fallisce, ci sono molte altre tecniche di cracking della password da provare.

Mentre le password sono uno strumento di sicurezza dell’account molto popolare, non sono necessariamente l’opzione più sicura. Questo è specialmente il caso se un utente crea una password debole, la riutilizza e conserva la sua copia in chiaro da qualche parte online. Ecco perché l’uso di dati biometrici (che ha anche i suoi svantaggi) o l’aggiunta di un secondo fattore renderà inutile la maggior parte dei metodi di cracking qui sotto.

Un tipico attacco di cracking di password assomiglia a questo:

  1. Prelevare gli hash delle password
  2. Preparare gli hash per lo strumento di cracking selezionato
  3. Scegliere una metodologia di cracking
  4. Eseguire lo strumento di cracking
  5. Valutare i risultati
  6. Se necessario, modificare il tuo attacco
  7. Passa alla fase 2

Ora discutiamo le tecniche di cracking delle password più popolari. Ci sono molti casi in cui queste vengono combinate insieme per un maggiore effetto.

Phishing

Phishing è la tecnica più popolare che consiste nell’attirare l’utente a cliccare su un allegato e-mail o un link che contiene malware. I metodi per farlo di solito comportano l’invio di qualche email importante e dall’aspetto ufficiale che avverte di agire prima che sia troppo tardi. Alla fine, il software per l’estrazione della password viene installato automaticamente o l’utente inserisce i dettagli del suo account in un sito web simile.

Ci sono diversi tipi di phishing fatti su misura per una particolare situazione, quindi vedremo i pochi comuni:

  • Lo spear phishing prende di mira un particolare individuo e cerca di raccogliere quante più informazioni personali possibili prima dell’attacco.
  • Il whaling prende di mira gli alti dirigenti e usa un contenuto specifico dell’azienda, che può essere un reclamo di un cliente o una lettera di un azionista.
  • Il voice phishing comporta un falso messaggio da una banca o da qualche altra istituzione, chiedendo all’utente di chiamare la linea di assistenza e inserire i dati del suo conto.

Malware

Come hai visto, anche il malware è spesso parte della tecnica di phishing. Tuttavia, può funzionare senza il fattore “ingegneria sociale” se l’utente è abbastanza ingenuo (di solito lo è). Due dei tipi di malware più comuni per rubare le password sono i keylogger e gli screen scrapers. Come i loro nomi implicano, il primo invia tutti i tasti premuti all’hacker, e il secondo carica gli screenshot.

Anche altri tipi di malware possono essere usati per rubare le password. Un trojan backdoor può garantire l’accesso completo al computer dell’utente, e questo può accadere anche quando si installa il cosiddetto grayware. Conosciuti anche come applicazioni potenzialmente indesiderate, questi programmi di solito si installano dopo aver cliccato il pulsante “Download” sbagliato su qualche sito web. Mentre la maggior parte visualizzerà annunci o venderà i dati di utilizzo del web, alcuni potrebbero installare software molto più pericolosi.

Ingegneria sociale

Questa tecnica di cracking della password si basa sulla credulità e può o meno impiegare software o hardware sofisticati – il phishing è un tipo di schema di ingegneria sociale.

La tecnologia ha rivoluzionato l’ingegneria sociale. Nel 2019 gli hacker hanno usato l’AI e la tecnologia vocale per impersonare un imprenditore e hanno ingannato il CEO per trasferire 243.000 dollari. Questo attacco ha dimostrato che fingere la voce non è più il futuro, e l’imitazione video diventerà comune prima di quanto si pensi.

Di solito, l’attaccante contatta la vittima travestita da rappresentante di qualche istituzione, cercando di ottenere quante più informazioni personali possibili. C’è anche la possibilità che, fingendosi un agente della banca o di Google, possa ottenere subito la password o le informazioni della carta di credito. Contrariamente alle altre tecniche, l’ingegneria sociale può avvenire offline chiamando o addirittura incontrando personalmente la vittima.

Attacco di forza bruta

Se tutto il resto fallisce, i cracker di password hanno l’attacco di forza bruta come ultima risorsa. Si tratta fondamentalmente di provare tutte le combinazioni possibili fino a quando non si fa centro. Tuttavia, gli strumenti di cracking delle password permettono di modificare l’attacco e ridurre significativamente il tempo necessario per controllare tutte le varianti. L’utente e le sue abitudini sono ancora una volta gli anelli deboli.

Se l’attaccante è stato in grado di forzare una password, presumerà che la password sia stata riutilizzata e proverà la stessa combinazione di credenziali di accesso su altri servizi online. Questo è noto come credential stuffing ed è molto popolare nell’era delle violazioni dei dati.

Attacco a dizionario

Un attacco a dizionario è un tipo di attacco brute force ed è spesso usato insieme ad altri tipi di attacco brute force. Controlla automaticamente se la password non è una frase usata spesso come “iloveyou” guardando il dizionario. L’attaccante potrebbe anche aggiungere le password di altri account trapelati. In un tale scenario, la possibilità di successo di un attacco a dizionario aumenta sostanzialmente.

Se gli utenti dovessero scegliere password forti che non contengono solo una parola, tali attacchi si ridurrebbero rapidamente a un semplice attacco di forza bruta. Nel caso in cui si utilizzi un gestore di password, allora generare una serie casuale di simboli è la scelta migliore. E se non lo fate, anche una lunga frase composta da almeno cinque parole è ottima. Basta non dimenticare di riutilizzarla per ogni account.

Spidering

Lo spidering è una tecnica supplementare di cracking della password che aiuta con i suddetti attacchi di forza bruta e dizionario. Implica la raccolta di informazioni sulla vittima, di solito un’azienda, presumendo che usi alcune di queste informazioni per la creazione di password. L’obiettivo è quello di creare una lista di parole che aiuterebbe a indovinare la password più velocemente.

Dopo aver controllato il sito web della società, i social media e altre fonti, si può arrivare a qualcosa del genere:

  • Nome del fondatore – Mark Zuckerberg
  • Data di nascita del fondatore – 1984 05 14
  • Sorella del fondatore – Randi
  • Altra sorella del fondatore – Donna
  • Nome della società – Facebook
  • Sede centrale – Menlo Park
  • Mission dell’azienda – Dare alle persone il potere di costruire comunità e avvicinare il mondo

Ora tutto quello che devi fare è caricarlo su un adeguato strumento di password cracking e raccoglierne i benefici.

Indovinare

Sebbene l’indovinare sia lontano dalla tecnica di cracking di password più popolare, si ricollega allo spidering orientato al business di cui sopra. A volte l’attaccante non ha nemmeno bisogno di raccogliere informazioni sulla vittima perché è sufficiente provare alcune delle frasi di accesso più popolari. Se vi ricordate di aver usato una o più delle password patetiche nella lista qui sotto, vi consigliamo vivamente di cambiarle ora.

Alcune delle password più comuni nel 2019

  • 123456
  • qwerty
  • password
  • iloveyou
  • admin
  • lovely
  • 7777777
  • 888888
  • princess
  • dragon

Anche se il numero di persone che usano password semplici o predefinite come “admin,”qwerty” o “123456” sta diminuendo, molti amano ancora le frasi facili e memorabili. Queste spesso includono nomi di animali domestici, amanti, pet-lovers, ex-animali domestici, o qualcosa relativo al servizio attuale, come il suo nome (minuscolo).

Attacco della tabella arcobaleno

Come detto sopra, una delle prime cose da fare quando si cracca una password è ottenere la password in forma di hash. Poi si crea una tabella di password comuni e le loro versioni hash e si controlla se quella che si vuole craccare corrisponde a qualche voce. Gli hacker esperti di solito hanno una tabella arcobaleno che coinvolge anche password trapelate e precedentemente craccate, rendendola più efficace.

La maggior parte delle volte, le tabelle arcobaleno hanno tutte le password possibili che le rendono estremamente enormi, occupando centinaia di GB. D’altra parte, rendono l’attacco vero e proprio più veloce perché la maggior parte dei dati è già presente e bisogna solo confrontarli con l’hash-password mirata. Fortunatamente, la maggior parte degli utenti può proteggersi da tali attacchi con grandi sali e key stretching, specialmente quando si usano entrambi.

Se il sale è abbastanza grande, diciamo 128-bit, due utenti con la stessa password avranno hash unici. Questo significa che generare tabelle per tutti i sali richiederà una quantità astronomica di tempo. Per quanto riguarda l’allungamento della chiave, aumenta il tempo di hashing e limita il numero di tentativi che l’attaccante può fare in un dato tempo.

Come creare una password forte?

Non importa quanto sia buona la vostra memoria o il vostro password manager, non riuscire a creare una buona password porterà a conseguenze indesiderate. Come abbiamo discusso in questo articolo, gli strumenti di cracking delle password possono decifrare le password deboli in giorni, se non ore. Ecco perché ci sentiamo in dovere di ricordare alcuni consigli chiave per creare una passphrase forte:

  • Lunghezza. Come spesso accade, la lunghezza è il fattore più importante.
  • Combina lettere, numeri e caratteri speciali. Questo aumenta notevolmente il numero di combinazioni possibili.
  • Non riutilizzare. Anche se la tua password è forte in teoria, riutilizzarla ti lascerà vulnerabile.
  • Evita frasi facili da indovinare. Una parola che si trova nel dizionario, sul collare del tuo animale domestico o sulla tua targa è un grande NO.

Se vuoi saperne di più sulla creazione di buone password, considera di controllare il nostro articolo Come creare una password forte. Puoi anche provare il nostro generatore di password che ti aiuterà a creare password sicure.

Crea password uniche

Genera password sicure che siano completamente casuali e impossibili da indovinare.

Il password cracking è illegale?

Non c’è una risposta chiara a questo. Per cominciare, tutti gli strumenti di password cracking descritti sopra sono perfettamente legali. Questo perché giocano un ruolo chiave nel controllo delle vulnerabilità e possono anche aiutare a recuperare una password persa. Inoltre, tali strumenti aiutano le forze dell’ordine a combattere il crimine. Quindi, come spesso accade, il cracking delle password può aiutare la buona e la cattiva causa.

Per quanto riguarda il cracking delle password come attività, dipende da due fattori. Uno, l’hacker non ha l’autorità per accedere a quei particolari dati. Due, l’obiettivo è quello di rubare, danneggiare o altrimenti abusare dei dati. Anche se solo uno di questi fattori è presente, un hacker molto probabilmente riceverà una punizione, che va da una multa a diversi anni di reclusione.

Per riassumere, se non c’è un bug bounty, nessun accordo per fare un test di penetrazione, e nessuna richiesta di aiutare a recuperare una password persa, il cracking è illegale.

In fondo

Il cracking delle password è più facile di quanto molti utenti pensino. Ci sono molti strumenti gratuiti e alcuni di essi sono abbastanza facili anche per i cracker principianti. C’è anche più di una tecnica di cracking di password da provare. Iniziando con un semplice attacco di forza bruta e passando a metodi sofisticati che combinano diverse tecniche, il cracking delle password si evolve ogni giorno.

La migliore difesa contro il cracking delle password è usare una password forte. Usare abbastanza simboli e caratteri diversi assicura che anche il computer più veloce non possa craccare il tuo account in questa vita. E dato che ricordare più password forti è improbabile, la cosa migliore è usare un gestore di password affidabile. L’autenticazione a due fattori è ancora una spina nel fianco per qualsiasi hacker, quindi l’aggiunta di un finger o face ID manterrà i tuoi dati al sicuro, almeno per il prossimo futuro.fcomm

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *