Le password composte da decine di caratteri si suppone siano una difesa ottimale contro gli hacker, perché sono molto più difficile da decifrare rispetto alle password brevi. Ma, a quanto pare, ora le cose si fanno più complicate. Secondo l'Ars Technical Report, il software di decodifica delle password OCL-Hashcat-plus può ora individuare quelle composte addirittura da 55 caratteri, con un incremento di 15 caratteri rispetto alla versione precedente. Jens Steube, capo sviluppatore di Hashcat, ha dichiarato che il supporto per le password più lunghe era "di gran lunga una delle caratteristiche più richieste".
Questo software non è pensato per attaccare siti o reti aziendali, ma i suoi "servizi" sono sempre molto graditi ai criminali informatici che lo usano spesso per "lavorare" sui database di password sui quali riescono a mettere le mani, oppure per cercare di scardinare l'account di un utente in paarticolare. Di solito, i database delle password dei servizi Internet più "virtuosi" criptati e mescolati a dati non coerenti per renderli più sicuri, ma con l'aiuto di software di cracking, gli hacker possono cercare di craccarli con un "brute force" un po' più furbo del solito e grazie al supporto offerto dalle schede grafiche, si possono tentare miliardi di combinazioni in un attimo.
Hashcat, per esempio, può fare 8 miliardi di tentativi al secondo su un desktop di fascia alta, vantando una grande ottimizzazione del codice, tale che "Low resource utilization, you can still watch movies or play games while cracking" (utilizza poche risorse, tanto che puoi ancora guardarti un film o giocare ai videogiochi mentre cracchi le password). In effetti, quando si deve combattere contro hacker che possono compiere 8 miliardi di tentativi al secondo per indovinare la tua password, diventa difficile trovarne una che regga...
Con hashcat, le password deboli sono le prime ad essere scoperte, perché sono facilmente indovinate dagli algoritmi del software, ma in passato bastava stare sopra ai 40 caratteri per essere relativamente al sicuro. Adesso questo limite è stato portato a 55, ma il punto è un altro: ricordare una password di 40 caratteri, infatti, non è per nulla facile e quindi gli utenti "ultraprudenti" ricorrevano in massa al classico stratagemma di usare frasi famose, spezzoni di dialogo di un film o brani di un film o di canzoni.
Ovviamente, i cracker si sono subito attrezzati per contrattaccare questa tecnica di difesa e hashcat adesso può attingere a database di frasi fatte per cercare di rompere la crittografia. Fortunatamente, è relativamente facile ridurre al minimo il potenziale danno operato da un "password cracker" come Hashcat. Lo strumento di crittografia viene frantumato con (relativa) facilità, ma le password hash devono trapelare da un sito web compromesso prima che gli aspiranti hacker possano craccarle. Quindi, in primo luogo, è sempre meglio non utilizzare la stessa password su ogni sito, non importa quanto lunga o complicata sia.
Altra soluzione è quella di utilizzare i programmi di gestione delle password come KeePass o LastPass. Inoltre, oltre alla password, è buona cosa impostare l'autenticazione a due fattori per il login a conti bancari o in quei siti dove sono contenuti i vostri dati più sensibili. E comunque, l'utilizzo di una password con molti caratteri (meglio misti tra numeri, lettere e simboli) rimane un primo scoglio difficile da superare dagli hacker. Insomma una password lunga, nonostante l'allerta lanciata, è sempre meglio di password quali "pippo", "1234" o "password" che anche il più sgangherato degli hacker può trovare.