Password Cracking alla Velocità della Luce

Com’è noto il problema principale del password cracking è il tempo. Un attacco brute-force può richiedere molto tempo per raggiungere lo scopo. Nel corso degli anni sono state sviluppate diverse tecniche per cercare se non di azzerare perlomeno ridurre l’impatto del fattore tempo.

Un evento che diede nuova vita al password cracking fu l’introduzione della rainbow tables, tabelle che sfruttando il compromesso tempo-memoria, riducono il tempo di cracking sfruttando gigantesche tabelle di hash pre-calcolati.

Certamente oltre ad un certo limite non si può andare se non con l’ausilio di potenziamenti hardware. Semplicemente: per craccare password più velocemente ci vogliono CPU più veloci. Cosa vera, ma solo in parte. Per esempio Elcomsoft si è affermata negli ultimi anni come software house esperta in password cracking,  presentando sul mercato softwre in grado di sfruttare non la potenza delle CPU, bensì delle GPU la cui potenza di calcolo è esplosa negli ultimi anni; se vedete qualcuno che si porta a casa una scheda video di ultima generazione, non è detto che sia un grafico o un maniaco di videogiochi: potrebbe essere un cracker…

La notizia degli ultimi giorni viene da objectif-securite.ch, azienda nota per il password cracker Ophcrack. I ricercatori di questa software house hanno presentato una nuova tecnica per velocizzare il tempo di cracking. Questa tecnica si basa sul fatto che essi hanno identificato nell’accesso all’unità di memorizzazione di massa (hard-disk) il collo di bottiglia che compromette le prestazioni del password cracker. Quindi per aumentare le prestazioni è necessario utilizzare hard-disk più veloci: gli SSD (Unità a stato solito). Sfruttando questi hard-disk e rainbow-tables particolari gli hash di Windows possono essere craccati in pochi secondi.

Sul sito della objectif-securite.ch è presente un demo dove è possibile testare questa tecnica. Si basa su di una rainbow-table da 90GB memorizzata su un’unità SSD. Il set di caratteri è composto dai 10 numeri, 52 lettere maiuscole e minuscole più 33 caratteri speciali. La lunghezza massima delle password è di 14 caratteri.

Per concludere: se il brute force viene eseguito tramite rainbow-tables, sfruttando la velocità di GPU e/o dischi SSD il tempo di cracking viene drasticamente abbattuto. Se si aggiunge un altro elemento di cui non ho parlato in questo articolo, ovvero il calcolo distribuito, le barriere difensive rappresentate dalla password diventano ancora più deboli.

1 Trackback / Pingback

  1. Technotizie.it

I commenti sono bloccati.