Password Day #5: Il "password guessing".
La password è, oggi, l'elemento fondamentale della nostra sicurezza nelle attività che svolgiamo quotidianamente online. In questa nuova serie di contenuti che ho denominato "Password Day", e che vi faranno compagnia ogni sabato mattina fino alla fine del 2023, affonteremo ogni settimana uno specifico aspetto della password e delle credenziali, stabilendo alcune cose da fare, o comportamenti da tenere, per aumentare la sicurezza.
Cosa comprendere (e apprendere) nella nostra quinta giornata dedicata alle password?
Con password guessing s’intende un tipo di attacco che cerca di indovinare la password della vittima.
Un attacco che può sembrare elementare - non richiede neppure particolari competenze tecniche - ma che può essere molto, molto efficace.
Di solito chi porta questo attacco ha già un dato, o qualche dato, in possesso, ad esempio il nome utente o indirizzo di posta elettronica e manca, appunto, la password per poter completare i dati richiesti dalla maschera di autenticazione.
Alcuni sistemi hanno attivi dei dispositivi di protezione che si “accorgono” dei numerosi tentativi e, dopo un certo lasso di tempo, li bloccano (in alcuni telefoni si minaccia anche la cancellazione dei dati). Altri, invece, consentono tentativi a ripetizione.
Ci si difende da questo tipo di attacco, si diceva, con una password non riferibile a noi, oppure mai usata in nessun altro contesto e, comunque, che sia molto difficile da indovinare.
Si può impostare, poi, il sistema affinchè segnali i tentativi in corso. Vedremo in seguito come anche la doppia autenticazione sia sistema ideale per proteggere da attacchi di questo tipo.
Obiettivo di questo password day: riflettere su quanto le nostre password siano “indovinabili” e, se del caso, cambiarle.