Come vi rubano la password

 

Prima di capire come è possibile creare password robuste e facilmente memorizzabili è bene capire quali tecniche sono utilizzate dai malintenzionati per rubarvi la password.

 

Casi in cui "non potere farci nulla":

  1. falla di sicurezza nel sistema remoto di memorizzazione delle password.
  2. falla di sicurezza nell'algoritmo di cifratura (vedi earthbleed).
  3. attacco a forza bruta. Da remoto cercano di entrare nel vostro account provando automaticamente delle combinazioni di caratteri a caso. Di solito si comincia col provare:
    • il nome dell'utente
    • il nome dell'utente scritto al contrario
    • il nome dell'utente con dei numeri in fondo
    • il nome dell'utente raddoppiando le singole lettere
    • parole tratte dal dizionario (dictionary attack)
    • parole tratte dal dizionario scritte al contrario
    • nomi propri
    • date nei vari formati (gg/mm/aa, gg/mm/aaaa, ggmmaaaa, ecc...)
    • numeri di targa
    • tentativo mirato utilizzando date di nascita e nomi di aminali o persone care, soprannomi o nomi inerenti alla vostra passione quale che sia (calcio, fumetti, film, cartoni animati, ecc..) Ovviamente questo attacco può avvenire solamente da persone che vi conoscono o con cui siete spesso in contatto. Attenzione! Ultimamente questo tipo di attacco può essere eseguito anche senza conoscervi: basta che abbiate scritto il nome del vostro cane o abbiate pubblicato le foto del vostro matrimonio su un blog o su facebook che la frittata è fatta: il malintenzionato è venuto a conoscenza del nome del vostro animaletto e della data di matrimonio che usate per le vostre password!

Casi in cui "è colpa vostra":

  1. creano una pagina web fasulla del servizio e vi fanno credere che sia quella genuina. Digitando la password in questo sito fasulo ne vengono a conoscenza. Attenzione che www.wikipedia.it non è uguale a www.wikipedia.ita.it
  2. sul sistema che state utilizzando è installato un "keylogger", ovvero un registratore di tasti premuti sulla tastiera. Il "keylogger" può essere un software installato sul computer oppure un hardware posizionato tra la tastiera e il computer. In questa ultima ipotesti non è necessario avere le credenziali per acceder al sistema operativo ma è sufficiente nascondere un piccolissimo adattatore tra tasiera e pc.
  3. vi leggono il post-it che avere lasciato attaccato al monitor.
  4. vi leggono la password mentre la digitate sulla tastiera, guardandovi da dietro le spalle o registrando un video magari col cellulare da poco lontano per poi analizzarlo successivamente
  5. ingegneria sociale (social engeneering). Con tecniche diversive l'attaccante cerca di carpirvi più dati personali possibili al fine di identificare la vostra password o sfruttare i sistemi di recupero password che i vari siti mettono a disposizione. Dati come il cognome da nubile di vostra madre o il nome del vostro cane sono dati che potrebbero essere utili per recuperare la password.