Registrati |
Login

Diventa un nostro Fan!

News e concorsi dedicati ai nostri Fan. Cosa aspetti? Seguici su Facebook!

Esperimento: decifrare una password usando la scheda grafica

08:00 - 30 agosto 2011 08:00 - 30 agosto 2011 di Andrew Ku

1 - Esperimento: decifrare una password usando la scheda grafica
2 - Configurazione di prova
3 - Codifica file compressi: WinZip e WinRAR
4 - La forza delle password

5 - Craccare una password con la CPU
6 - Craccare una password con GPGPU
7 - Nvidia contro AMD: prestazioni a confronto
8 - Sicurezza: WinZip e WinRAR
9 - Conclusioni

Pensate che le vostre password siano al sicuro? Abbiamo condotto un esperimento usando la scheda grafica per decifrare una password.

Introduzione

È difficile ricordarsi tutte le password che usiamo su Internet o al computer. Spesso ne usiamo di differenti in base al sito. Quando le dimentichiamo, è abbastanza semplice recuperarle. Che si tratti della vostra email o del conto bancario, il processo di recupero online è generalmente indolore. Solitamente c'è un link che vi mette sulla pista giusta.

Se invece si tratta di un file locale protetto, recuperare una password smarrita può essere un bel problema. È capitato anche a noi, con un vecchio file compresso e protetto con WinZip. Ecco una situazione in cui un metodo per recuperare la password di un documento può tornare utile.

Ci sono tanti modi di proteggere i dati. TrueCrypt per esempio è uno dei più apprezzati e potenti, ma l'uso di archivi compressi protetti è probabilmente la più semplice e veloce.

Se siete paranoici, probabilmente cercherete di usare lo schema di codifica più resistente possibile. In generale i più attenti scelgono quindi i protocolli di codifica più resistenti – quindi l'AES 256 invece dell'AES 128 – nella convinzione che sia più difficile da oltrepassare.

Pensate alla codifica come una grande camera blindata o cassaforte, la cui sicurezza dipende soprattutto dalla qualità del "lucchetto" che chiude la spessa porta. Questo è il ruolo della password, che rappresenta la chiave per aprire la serratura. Più lunga e complessa è la password, più complicato sarà creare una copia illegittima della chiave.

La maggior parte delle persone è convinta che una password di otto caratteri sia abbastanza buona per tenere in scacco gli hacker. Un'affermazione valida in senso generale, ma non del tutto veritiera, come vedremo.

Condividi:

Continua

Consigli per gli acquisti:

Commenti

Aggiungi un tuo commento

1/5 avanti

deidara80 30/08/2011 08:27

Molto interessante l'articolo. complimenti.

dal manuale di Z-zip:

7-Zip also supports encryption with the AES-256 algorithm. This algorithm uses a cipher key with length of 256 bits. To create the key, 7-Zip uses a derivation function based on an SHA-256 hash algorithm. A key derivation function produces a derived key from a text password defined by the user. To increase the cost of an exhaustive search for passwords, 7-Zip uses a big number of iterations to produce the cipher key from the text password.

Tips for selecting password length
Here is an estimate of the time required for an exhaustive password search attack, when the password is a random sequence of lowercase Latin letters.

We suppose that one user can check 10 passwords per second and an organization with a budget of about $1 billion can check 10 billion passwords per second. We also suppose that the processor in use doubles its performance every two years; so, each additional Latin letter of a long password adds about 9 years to an exhaustive key search attack.

The result is this estimate of the time to succeed in an attack:

http://i51.tinypic.com/29m7xq1.png

quindi 14 caratteri e qualunque cosa abbiate fatto andrà in prescrizione prima che la NSA riesca a decriptare

Adrythebest 30/08/2011 08:37

Le schede grafiche hanno un enorme potenziale, possono essere usate non solo per craccare le password di archivi, ma anche per craccare reti wireless con attacchi dizionario. Sono una manna dal cielo per i cracker.
Comunque ottimo articolo, molto ben articolato e ben spiegato

ZEB-DEMON 30/08/2011 08:48

Ottimo articolo, mi ha interessato molto, soprattutto bazzicando il mondo bitcoin, dove la risoluzione di HASH con GPU è all'ordine del giorno (infatti inizialmente leggevo gli esempi con schede Nvidia e mi chiedevo cosa aspettavate a mettere sotto qualche 6990 in parallelo

).

Cmq, fortunatamente all'aumentare della potenza di calcolo, migliorano anche i metodi di sicurezza.. Come abbiamo visto, WinRar e WinZip si basano ancora su SHA-1 quando abbiamo SHA-2 già molto + potente (andiamo dai 160bit dello SHA-1 ai 384/512 dello SHA-2) e nel 2012 si sceglierà l'algoritmo da usare per lo SHA-3 ( http://it.wikipedia.org/wiki/Secure_Hash_Algorithm), poi aggiungere qualche SALT aiuta e non poco (soprattutto da attacchi brute force su base dizionario/tabelle rainbow).

Certo, poi come abbiamo visto (e come lulz ci ha fatto vedere) molti sistemi (se non sono in chiaro

) usano ancora MD5 e la cosa diventa "tragica"..

Quindi, ribadendo (come fine articolo ricorda) che il migliore sistema di sicurezza inizia da noi (con la bontà della password), cercate di non usare "Password" come password

BillJobs 30/08/2011 08:52

-4

Originariamente inviata da Adrythebest

E per chi gli viene craccata la rete wireless è pure una manna dal cielo?

lughi 30/08/2011 08:53

+14

Articolo interessante, si può mandare il link ai sistemisti sony?

Quanta cattiveria di prima mattina

delta08 30/08/2011 08:57

+16

Originariamente inviata da deidara80

quindi 14 caratteri e qualunque cosa abbiate fatto andrà in prescrizione prima che la NSA riesca a decriptare

LOL , magari ti mandano a casa Sam Fischer per rubarti l'hdd e dopo 20 anni scoprono che dentro quel file Zip al posto dei piani per chissà quale attentato terroristico ci trovano i salvataggi di Deus Ex

enri09 30/08/2011 09:16

Cito da pagina 4:

Originariamente inviata da redazione

Winzip e WinRar non hanno questa lussuria.

Forse volevate dire lusso....

demon77 30/08/2011 10:00

Complimenti, un articolo molto interessante.
Ero davvero curioso di avere degli "ordini di grandezza" per quanto riguarda la decifratura di una password!

Ora mi ritengo più che soddisfatto!

Manolo De Agostini 30/08/2011 10:07

Originariamente inviata da enri09

Cito da pagina 4....

Ciao, sistemato. Grazie!

Dav1de 30/08/2011 11:00

punto 1: ARTICOLO SPETTACOLARE

punto 2: come mai gmail non permette di utilizzare caratteri ASCII per la gestione delle password? (ho provato con € e $ e non me li prende)

punto 3: il brute forcing funziona potrebbe funzionare anche con gli account gmail? oppure dopo un tot di password sbagliate il sistema ti impedisce di riprovare per tot minuti? e se sì (per un utente medio come me), è possibile che un hacker/cracker riesca ad aggirare la regola dei tot minuti?

grazie a chiunque voglia rispondere

1/5 avanti

Accedi o registrati.