Facade
25-07-2003, 00.24.02
Alcuni ricercatori svizzeri, riferisce News.con di CNET, hanno pubblicato martedì scorso un documento che illustra un procedimento craccare più velocemente le password alfanumeriche di Windows, riducendo il tempo necessario da un minuto e 41 secondi fino ad una media di 13,6 secondi. Il metodo consiste nello sfruttare la capacità di calcolo di diverse macchine contemporaneamente per confrontare le password possibili con il testo originale immesso da una persona. Chiamata tecnica di compromesso tempo/memoria, fa sì che un aggressore con una quantità di memoria sufficiente possa ridurre il tempo necessario a infrangere un codice segreto. I risultati degli esperimenti sottolineano un fatto che preoccupa molti esperti in sicurezza: il metodo di codifica delle password utilizzato da Microsoft ha alcune debolezze che rendono queste tecniche particolarmente efficaci, spiega Philippe Oechslin, del laboratorio di crittografia e sicurezza dell'istituto Federazione Svizzero di Tecnologia di Losanna. «Il problema con le password di Windows è che non contengono informazioni random» ha affermato. Oechslin ha dichiarato di non aver notificato a Microsoft l'esistenza del documento prima di averlo pubblicato. La sua ricerca, ha spiegato, era incentrata sulla creazione di un efficace compromesso tempo-memoria, e non sulla decrittazione delle password di Microsoft. Microsoft ha usato due metodi di crittazione per le sue password. Il primo, conosciuto come LANManager o LANMan, è servito per nei sistemi Windows 3.1, 95, 98, Me e nelle prime versioni di NT, per rendere sicure le password delle prime reti Windows. Il metodo LANMan ha diverse debolezze, tra cui il fatto di rendere tutti i caratteri maiuscoli, suddividere le password in porzioni da 7 byte e non usare elementi random, chiamati salt. Mentre il più recente NTHash ha corretto i primi due problemi, sussiste anche in questo la mancanza di elementi random. Un aggressore con un adeguato sistema potrebbe craccare le password di qualunque computer Windows. Unix, Linux e Mac OS X, invece, aggiungono un salt da 12-bit al calcolo necessario, in modo che ogni tentativo per infrangere la crittazione richieda un tempo 4,096 volte superiore o 4,096 volte più memoria. Gli utenti possono tutelarsi aggiungendo alle password caratteri non alfanumerici. L'inclusione di simboli che non siano alfanumerici rende più complesso il procedimento di decrittazione, ovvero il cracker dei codice avrà bisogno di tempo e memoria in misura superiore.