La creazione di una buona password può fare molto per proteggerti in caso di violazione dei dati. Tuttavia, anche se crei una password casuale di 20 caratteri con simboli e numeri, ad un certo punto, la sicurezza delle credenziali è fuori dal tuo controllo. Tutto dipende da come il fornitore di servizi memorizza le tue password.
Contenuti
Abbiamo già parlato del perché sia sbagliato mantenere le password in testo normale. Per soddisfare i criteri di sicurezza più basilari, devono essere sottoposte a hashing. Ma si tratta di un costante gioco del gatto e del topo tra hacker ed esperti di sicurezza informatica. Con ogni violazione dei dati, i criminali migliorano nel decifrare le password con hash, quindi i crittografi hanno deciso di utilizzare una misura di sicurezza aggiuntiva: i salt.
Cos'è una crittografia con password e salt?
Le password di solito non vengono conservate nel formato testo normale. Quando accedi al tuo account, la password passa tramite un algoritmo di hashing unidirezionale. In questo modo, si trasforma in una stringa di caratteri irriconoscibile e completamente diversa. Tale stringa viene quindi confrontata con gli altri hash nel database e, se corrispondono, è possibile accedere all'account.
Anche se può apparire un metodo sicuro per archiviare le password, c'è comunque un problema. Se due password sono uguali, anche il loro hash sarà identico, e quindi sarà più facile decifrarle. È qui che entra in gioco il salt. Un salt è una sequenza casuale di bit che viene aggiunta alla password prima che passi attraverso l'algoritmo di hashing.
Immagina che la tua password sia "giallo". Se un altro utente ha la stessa password, anche l'output hash sarà lo stesso. Ma se aggiungi alcuni caratteri casuali ad entrambe, otterrai due password diverse - ‘yellow#1Gn%’ e ‘yellow9j?L’ - con hash completamente diversi. Ma in che modo rende più difficile decifrarle?
Attacco alle password senza salt
Nel corso degli anni, i criminali informatici hanno sviluppato una miriade di modi per violare e decifrare milioni di password con hash. E con ogni violazione dei dati, questi metodi non fanno altro che migliorare. Esistono tre modi principali per violare una password con hash senza crittografia salt.
Forza bruta. Brute-force potrebbe essere definito il modo più semplicistico per decifrare le password con hash. Tenta semplicemente di indovinare ogni possibile combinazione di password per poi passarla attraverso un algoritmo di hashing. Una volta ottenuta una corrispondenza, si può risalire alla password originale. La forza bruta funziona meglio con set di caratteri più brevi. Più lunghe sono le password, maggiore è la potenza di calcolo necessaria per decifrarle.
Attacchi a dizionario. Un attacco a dizionario è una versione più sofisticata della forza bruta. Ma anziché affidarsi completamente al caso, il computer prova le parole e le combinazioni di caratteri più comuni utilizzati per le password. Questo è il motivo per cui gli attacchi a dizionario migliorano con ogni violazione dei dati: ogni volta, i criminali imparano di più sul modo in cui creiamo le nostre password.
Tabelle arcobaleno. Le tabelle arcobaleno sono database pre-calcolati di password hash decrittografate. Quindi un hacker può semplicemente cercare nel database per ottenere l'hash desiderato. Proprio come succede con gli attacchi a dizionario, anche le tabelle arcobaleno diventano più grandi con ogni violazione dei dati.
Mitigare gli attacchi alle password con Salt
Quindi, come fanno gli esperti di sicurezza a combattere effettivamente questi attacchi? Innanzitutto, utilizzando gli algoritmi di hashing più recenti e sicuri. Le funzioni di hashing come MD5 e SHA-1 sono generalmente considerate crackabili: bcrypt e SHA-2 sono invece scelte più sicure. Gli ultimi algoritmi eseguno le funzioni di hashing sulle password numerose volte per renderle più difficili da decifrare.
Oltre alle funzioni sicure, l'utilizzo di un hash con salt è un must. Una password con salt sottoposta a hashing attraverso un algoritmo sicuro è quasi impossibile da violare. Tuttavia, questo non vuol dire che le tue password siano completamente sicure. Non puoi essere completamente certo del modo in cui i tuoi fornitori di servizi memorizzano le password. Quindi segui sempre le migliori pratiche di sicurezza: crea password davvero casuali, non riutilizzare mai le tue credenziali su account diversi e cambia la password immediatamente dopo una violazione dei dati.