Cybersecurity

Perché non usare password facili: un esempio pratico

03 Luglio 2014

In un recente post ho spiegato a grandi linee cosa è MD5, a cosa serve e come si fa a calcolarlo.


Cosa c’entrano le password con MD5?
 
Ormai qualsiasi cosa si voglia fare, è necessario registrarsi a un sito: comprare biglietti aerei, andare su Facebook, chattare e postare sui forum…
I siti web spesso non memorizzano le password in chiaro all’interno dei propri sistemi, ma il valore hash MD5 delle password.
Altrimenti in caso di bug del codice o di attacco hacker, le password potrebbero finire in mani sbagliate.
Un hash è una stringa "cifrata" che identifica univocamente una password. La funzione è univoca: a partire dall’hash non si può risalire alla password.
Per esempio: se ci si registra a un sito usando la password antonio, il sito memorizzerà:
 
4a181673429f0b6abbfd452f0f3b5950

che è il valore MD5 corrispondente alla parola antonio.
Come ho detto prima, dal valore 4a181673429f0b6abbfd452f0f3b5950 non è possibile risalire alla parola antonio.

Eppure se si cerca su internet come decriptare password in MD5, si trovano parecchi siti gratuiti che promettono di farlo. Come è possibile?
C'è il trucco: questi siti dispongono di database di milioni e milioni di parole convertite in MD5, simili a quello esemplificato da questa tabella.
 
Password Hash MD5
antonio 4a181673429f0b6abbfd452f0f3b5950
gatto 427ade9c15ec643751860eba9899355b
casa 202447d5d44ce12531f7207cb33b6bf7

Potete farla anche voi: partendo da una parola, potete facilmente calcolare l'MD5. Basta usare questo sito.

Se avete una tabella come questa con milioni di parole e il rispettivo MD5, potete sapere quale parola ha generato ogni hash (presente nella tabella).
I siti che promettono di decriptare MD5 hanno database di milioni di dati: inserendo un MD5 è facile risalire alla parola originale.

Provare per credere: provate a inserire in questo sito questi hash:

  • 4a181673429f0b6abbfd452f0f3b5950
  • 427ade9c15ec643751860eba9899355b
Funziona, vero? Questo perché l'hash di una password facile è disponibile e facilmente calcolabile.

Ecco perché non bisogna usare password banali o facili
 
Se usate password robuste, anche in caso di attacco a un sito a cui siete registrati difficilmente dall'hash della password riusciranno a risalire alla password vera o propria.

Non ci credete ancora? Ecco l'hash della mia password: ad48768dfb6586a8cc795a64389f5a31.
Provate a usarla con il sito di prima. Non si riesce, vero?
Questo perchè la mia password non è antonio, gatto, casa, ma è molto più complessa 😉
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (2)
guest
2 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Pcsubito.it Pcsubito.it
Pcsubito.it Pcsubito.it
7 anni fa

si complimenti, ottimo!

Claudio Panerai
Claudio Panerai
7 anni fa

Grazie!