Password deboli: come proteggersi dalle minacce online con soluzioni di sicurezza

Le password deboli sono un problema sempre più diffuso. Gli utenti devono utilizzare gestori di password e creare combinazioni lunghe e casuali per proteggersi dalle minacce online

Oggi, quasi una password su due online può essere decifrata in meno di un minuto. Gli specialisti di Kaspersky Lab i quali hanno analizzato 231 milioni di password trapelate sul dark web tra il 2023 e il 2026, giungendo alla deludente conclusione che il 60% delle combinazioni può essere decifrato in meno di un’ora.

Per il test, gli esperti hanno utilizzato una singola scheda grafica NVIDIA RTX 5090 e password crittografate con l’algoritmo MD5. Rispetto alla RTX 4090, la velocità dell’attacco a forza bruta è aumentata del 34%, raggiungendo 220 miliardi di hash al secondo.

La situazione è ulteriormente peggiorata negli ultimi due anni, e la potenza delle schede grafiche ha reso la decifrazione ancora più rapida ed economica.

Una potenza di calcolo simile può essere noleggiata tramite servizi cloud per pochi dollari all’ora, rendendo persino gli attacchi più complessi non più costosi.

I servizi moderni in genere non memorizzano le password in chiaro. Il sistema, invece, memorizza un hash, ovvero una sequenza crittografata di caratteri. Al momento dell’accesso, la password viene riconvertita in un hash e confrontata con il valore memorizzato. Se un malintenzionato ottiene un database di tali hash, può iniziare a forzare la password originale con attacchi di forza bruta.

Per decifrare le password si utilizzano diversi metodi. Il più semplice è un attacco a forza bruta. Un altro metodo si basa sulle cosiddette “rainbow tables“, che contengono milioni di password pre-decrittografate. Ma i più efficaci sono gli algoritmi “intelligenti” addestrati su enormi database di password trapelate. Tali sistemi conoscono i modelli più comuni, considerano la sostituzione delle lettere con simboli come “@” o “$” e provano prima le combinazioni più probabili.

Quasi la metà delle password analizzate era così debole da poter essere decifrata in meno di un minuto. Un altro 12% è stato decifrato in un’ora. Solo il 23% delle combinazioni ha richiesto più di un anno di attacchi di forza bruta continui.

Secondo gli esperti, il problema principale risiede nelle abitudini umane. Gli utenti aggiungono sempre più spesso numeri, anni di nascita e simboli semplici alle parole.

La situazione è aggravata dal riutilizzo delle stesse combinazioni (password reuse) su diversi siti web. In questo caso, un malintenzionato non ha nemmeno bisogno di ricorrere alla forza bruta: può semplicemente trovare una password in una violazione di sicurezza e testarla su altri servizi.

Per proteggersi, gli esperti raccomandano di utilizzare gestori di password, creare password lunghe e casuali e di non memorizzarle in note o browser.

Consigliano inoltre di passare alle chiavi di accesso al posto delle password tradizionali e di abilitare sempre l’autenticazione a due fattori tramite app di autenticazione anziché tramite SMS.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance