Potrete anche essere bravi a inventare una password difficilissima, ma se il vostro 'vicino di sito' non lo è, allora la vostra bravura è inutile e la vostra password sarà facile preda di un hacker.
Lo afferma, prima di procedere a una dimostrazione pratica, Olli-Pekka Niemi, Head of the Vulnerability Analysis Group di Stonesoft, dal 2000 nell'azienda finlandese dove, tra l'altro, ha contribuito allo sviluppo dei sistemi per l'intrusion prevention.
Insieme a Olli, Otto Airamo, Head of the Security Engine Maintenance Team di Stonesoft, ha preparato 'Hack the Lab', un ambiente in cui praticare 'hacking sicuro'. Parte di questo ambiente è un sito che vende musica.
Olli Pekka Niemi di Stonesoft
"Il problema – ci spiega Otto - è il livello di sicurezza del sito su cui, sia la password strong sia quella debole sono memorizzati. Il nostro Music Store non lo è particolarmente".
Olli e Otto mostrano come possa essere relativamente semplice arrivare a 'recuperare' le credenziali di accesso di un utente. Sul sito, come spesso accade nella realtà, gli username sono visibili quali nickname nelle pagine dei commenti o sui forum.
Provando a inserire uno dei nickname come username e digitando una password a caso si ottiene un messaggio d'errore, che fornisce molte informazioni a un utente esperto.
"Un sito sicuro dovrebbe semplicemente comunicare che c'è stato un errore, mentre i messaggi di frequente contengono dettagli tecnici, utili per comprendere o comunque sospettare qual è l'architettura del sistema e progettare il prossimo passaggio".
Un po' di SQL injection e si ottengono altre informazioni di sistema, utili per capire come muoversi, almeno per chi ha rudimenti di system management.
I due esperti, utilizzando software di security progettati per la gestione dei sistemi, quindi impiegabili per ragioni opposte, come 'nmap', e altri decisamente meno innocenti, ma altrettanto efficaci, mostrano come rapidamente si possa 'indovinare' una password debole.
Ottenute delle credenziali grazie all'ignavia di un utente o a un suo eccesso di confidenza, diventa relativamente facile (basta lanciare un ulteriore comando) ottenere l'elenco di tutte le password, comprese quelle che, singolarmente, sarebbe stato difficile indovinare.