Password inserita in un browser Fonte foto: Shutterstock
SICUREZZA INFORMATICA

5 attacchi che mettono a rischio le nostre password

Di Pierguido Iezzi

Le password sono parte della nostra quotidianità e – che ci piaccia o no – sono sempre più vitali.

Le useremo oggi, domani e sicuramente in futuro. Questo perché, a differenza delle tecnologie di riconoscimento facciale o dell’impronta, le password possono essere utilizzate ovunque in quanto economiche da implementare e semplici da usare.

Naturalmente, è proprio questa ubiquità e semplicità che le rende attraenti per i Criminal Hacker. Ma quali tecniche utilizzano e come possiamo difenderci?

Phishing

Oltre il 75% di tutti i crimini informatici inizia con un attacco di phishing o di spear-phishing. I Criminal Hacker amano utilizzare queste tecniche per rubare le credenziali delle loro vittime.

Il phishing è un trucco di social engineering che tenta di indurre gli utenti a fornire le proprie credenziali a quella che ritengono essere una richiesta genuina da parte di un sito o di un fornitore legittimo.

Di solito, ma non sempre, il phishing avviene tramite e-mail che contengono link fraudolenti a siti web clonati o con un allegato dannoso. Da qualche parte lungo la catena di eventi che inizia con l’utente che abbocca, i truffatori presentano un falso modulo di login per rubare il nome di login e la password dell’utente.

Per difendersi è consigliato appoggiarsi sempre  all’autenticazione a 2 fattori. Anche se la cautela è la vostra difesa numero uno contro il phishing. Ignorate le richieste di accesso ai servizi dai link di posta elettronica e andate sempre direttamente al sito del venditore nel vostro browser. Controllate attentamente le e-mail che contengono allegati. La maggior parte delle email di phishing contiene errori di ortografia o altri errori che non sono difficili da trovare se ci si prende un momento per ispezionare il messaggio con attenzione.

Un altro elemento chiave è la difesa tramite awerness, come? grazie a servizi come il Phishing Attack Simulation.

Credential Stuffing

Si stima che decine di milioni di conti online siano testati ogni giorno dai Criminal hacker che utilizzano il credential stuffing.

Questa tecnica è un mezzo per testare i database o le liste di credenziali rubate – cioè le password e i nomi utente – rispetto a più account per vedere se c’è una corrispondenza.

I siti con scarsa sicurezza vengono violati regolarmente, i Criminal Hacker mirano attivamente a scaricare le credenziali degli utenti da tali siti in modo che possano venderle nel Dark Web.

Poiché molti utenti useranno la stessa password su siti diversi, i criminali hanno statisticamente buone possibilità di scoprire che l’utente Mario rossi utilizza la stessa password anche su altri account.

Gli strumenti per automatizzare il test di un elenco di credenziali rubate su più siti consentono ai Criminal Hacker di violare rapidamente i nuovi account anche su siti che praticano una buona sicurezza e l’igiene delle password.

La chiave per non diventare vittima di Credential Stuffing è semplice, ogni password per ogni sito deve essere unica. Naturalmente, questo non impedirà che la password venga rubata per un solo account su un sito con scarsa sicurezza, ma significa che qualsiasi compromesso delle vostre credenziali non vi riguarderà da nessun’altra parte su internet.

Password Spraying

È stato stimato che forse il 16% degli attacchi alle password provengono da attacchi con Password Spraying.

Si tratta di una tecnica che tenta di utilizzare una lista di password di uso comune contro un nome utente, come 123456, password123, 1qaz2wsx, letmein, batman e altri.

Un po’ come il Credential Stuffing, l’idea di base che sta alla base di tutto è quella di prendere una lista di account utente e testarli contro una lista di password.

Il Criminal Hacker, a differenza del caso precedente, ha solo una lista di nomi utente, ma non ha idea della password effettiva. La maggior parte dei siti individuerà ripetuti tentativi di password dallo stesso IP, per cui l’aggressore deve utilizzare più IP per estendere il numero di password che può provare prima di essere individuato.

Per evitare di cadere vittima di questo attacco, assicurati che la tua password non sia nella lista delle 100 password più comunemente usate.

Keylogging

Il keylogging è spesso una tecnica utilizzata negli attacchi mirati, in cui il Crimial Hacker conosce la vittima o è particolarmente interessato al bersaglio.

I keylogger registrano i tasti digitati sulla tastiera e possono essere un mezzo particolarmente efficace per ottenere credenziali per cose come conti bancari online, portafogli di criptovalute e altri accessi con moduli sicuri.

Il keylogging è più difficile da realizzare rispetto a Credential Stuffing, Phishing e Password Spraying perché richiede prima di tutto l’accesso o la compromissione della macchina della vittima con malware keylogging. Detto questo, ci sono molti kit post-sfruttamento disponibili al pubblico che offrono agli aggressori keylogger off-the-shelf, oltre a strumenti di spyware commerciali che si suppone servano per il monitoraggio dei genitori o dei dipendenti.

Per difendersi è necessario disporre di una buona soluzione di sicurezza in grado di rilevare le infezioni e l’attività dei keylogger. Questo è uno dei pochi tipi di tecniche di furto di password in cui la forza o l’unicità della vostra password non fa davvero alcuna differenza. Ciò che conta è quanto bene il vostro endpoint è protetto contro le infezioni e se il vostro software di sicurezza è in grado di rilevare anche attività dannose se il malware trova un modo per superare le sue funzioni di protezione.

Brute Force

Sorprendentemente non così diffusa come si tende a pensare, la forzatura bruta delle password è difficile, lunga e costosa per i criminali.

Ci sono molti strumenti come “Aircrack-ng”, “John The Ripper” e “DaveGrohl” che tentano di forzare le password. Ci sono generalmente due tipi di cracking disponibili. Il primo è una qualche forma di attacco “dizionario” – così chiamato perché l’aggressore prova ogni parola del dizionario come password. Programmi come quelli menzionati sopra possono essere eseguiti e testare un intero dizionario in pochi secondi. L’altro tipo di tecnica viene utilizzata quando l’aggressore ha acquisito (attraverso una violazione dei dati) l’hash della password in chiaro.

Dato che queste non possono essere invertite, l‘obiettivo è quello di eseguire l’hash del maggior numero possibile di password di testo semplice e cercare di trovare una corrispondenza.

Uno dei motivi per cui il cracking delle password non è una tecnica praticabile come alcune delle altre che abbiamo menzionato è che le password criptate usano tipicamente un “salt”.

Si tratta di alcuni dati casuali utilizzati nel processo di cifratura che garantiscono che non ci siano due password a testo semplice che producono lo stesso hash.

La chiave per stare al sicuro da attacchi di forza bruta è assicurarsi di utilizzare password di lunghezza sufficiente. Qualsiasi cosa 16 caratteri o più dovrebbe essere sufficiente data la tecnologia attuale.

Le password sono importanti?

Alcuni pensano di no, ma in realtà sono ancora fondamentali.

Password forti vi proteggeranno da tecniche come il Password spraying e gli attacchi di forza bruta, mentre password uniche vi proteggeranno dal Credential stuffing, assicurandovi che i danni causati da una fuga dai Data Breach su un sito non abbiano un impatto negativo altrove.

Alcuni suggerimenti per creare password forti e uniche

Uno dei motivi principali per cui il Credential Stuffing e il Password Spraying hanno tanto successo è che alla gente non piace creare e ricordare password complesse. La buona notizia – che in realtà non dovrebbe essere una novità, visto che è vero da un bel po’ di tempo – è che i gestori di password vi risparmieranno lo sforzo.

 Naturalmente, è vero che non sono infallibili. Di solito si basano su una password principale che, se compromessa, espone tutte le uova nel paniere. Tuttavia, le probabilità di essere vittima di un furto di password se si utilizza un gestore di password sono notevolmente inferiori rispetto a se non lo si fa.

Le password non andranno via a breve, anche se ci sono anche buoni argomenti che suggeriscono che non dovrebbero. Mentre i dati biometrici, la scansione del viso e delle impronte digitali hanno tutti un ruolo importante nell’aiutare l’accesso sicuro ai servizi, l’unica cosa bella di una password è che è “qualcosa che conosci” e non “qualcosa che hai”.

La seconda può esservi sottratta, in alcuni casi legalmente, ma la prima non può, a patto che vi assicuriate che sia sufficientemente complessa, unica e segreta.

Combinate questo con l’autenticazione a più fattori e le vostre probabilità di subire una perdita di dati attraverso l’hacking delle password sono estremamente basse e – cosa importante – molto limitate.

Se un sito insicuro fa trapelare le vostre credenziali, potete essere certi che non vi colpirà al di là di quel particolare servizio.

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963