Nei giorni scorsi, gli
sviluppatori del software ocl-Hashcat-plus (programma avanzato di
recupero delle password online), hanno provveduto ad aggiornare il
programma medesimo, in modo tale da poter sfidare i codici di accesso formati
da ben 55 caratteri.
A scanso di equivoci, occorre qui ricordare che l'utilizzo di tale software è indicato per i cosiddetti “pentester”, oppure per i responsabili di rete che volessero controllare l'affidabilità delle password scelte dai propri dipendenti.
Viceversa, agli internauti
domestici è vivamente sconsigliato di avvalersi di simili
tecnologie, innanzitutto per salvaguardare la propria fedina penale,
oltre che per non mettere a repentaglio gli account di amici, parenti
o di ignari frequentatori dei social network.
La versione classica di questo
delicato programma prevedeva, infatti, di poter scovare un gran
numero di hash crittografici (ovvero le cosiddette “password
mascherate”), ma solo nel caso queste ultime avessero una lunghezza
non superiore ai 15 caratteri.
Secondo Jens Steube, capo
sviluppatore di Hascat, con questo nuovo aggiornamento si è voluto
venire incontro ad una delle caratteristiche più richieste dagli
utenti, anche se “Abbiamo pensato a lungo se dotare o meno il
programma di questo nuovo supporto” -spiega- “perché lo avrebbe reso più lento del 15%”.
D'altro canto, bisogna pur dire
che, ora, con ocl-Hashcat-plus si possono raggiungere fino ad otto
miliardi di tentativi, al secondo, su un numero illimitato di
password da recuperare.
Non è un segreto che, milioni di
persone, si affidino oggi a password e passphrase online, lunghe e
complesse, nella speranza di creare veri e propri muri impenetrabili,
anche dalle tecniche del più abile degli hacker.
Ciò non ha di certo scoraggiato
gli smanettoni, che hanno risposto espandendo le fonti da cui i
programmi possono attingere, al fine di scovare le password.
Tanto che, qualche tempo fa, un
ricercatore della sicurezza è riuscito a decifrare la password
“Ph'ngluimglw'nafhCthulhuR'lyehwgah'naglfhtagn1”, grazie al fatto
che quest'incomprensibile vocabolo era inserito in un articolo
pubblicato su Wikipedia, a proposito della storia “The Call of
Chthulhu” di H. P. Lovecraft.
Se anche una password come quella
sopra riportata si è rivelata, alla prova dei fatti, inaffidabile, è
davvero impossibile difenderci, allora, dagli attacchi della nuova
generazione di hacker?
In effetti, qualche accorgimento, quantomeno per complicare loro la vita, ci sarebbe anche.
Come si è visto, scegliere
una password più lunga di 24 caratteri potrebbe rivelarsi, oggi, non più sufficiente: più opportuno si potrebbe rivelare, invece, fare ricorso ad
una buona dose di creatività.
La miglior strategia di difesa, in
questi termini, è senz'altro quella di ricorrere -nel computare la
password online- ad un mix di lettere (maiuscole e minuscole), numeri
e caratteri speciali (punti esclamativi, interrogativi, ecc.).