Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Quanto può resistere la vostra password a un attacco brute-force?

09 Maggio 2016 106

L'attacco brute-force è ormai l'ultima spiagga quando si cerca di sottrarre le credenziali di accesso di qualcuno; anche se le password più comuni rimangono 12345 e password, è ormai di pubblico dominio che una stringa ragionevolmente lunga e con simboli o caratteri speciali riesce a tenere distanti molto più a lungo gli eventuali malintenzionati.

Ma così, per il gusto della curiosità: non vi piacerebbe sapere più o meno quanto tempo potrebbe volerci per scovare la combinazione della vostra password? BetterBuys ha messo insieme un tool decisamente semplice che permette di scoprirlo con una certa semplicità. Basta digitare la vostra password (o una ragionevolmente simile, non andiamo a cercarci grane dove non ci sono) e il risultato vi apparirà a schermo in pochi secondi.

Il tool è piuttosto simpatico perché tiene in considerazione anche il fattore tempo: è infatti possibile scegliere processori di anni passati e vedere come cambiano i risultati (c'è anche un'approssimativa previsione di come evolveranno le cose da qui al 2020).

Non è niente di particolarmente avanzato, o accurato al secondo - non tiene conto dei tentativi brute force distribuiti su più IP, né degli eventuali throttling attivati dai provider, e un sacco di altre cose - ma può essere un buon sistema per imparare che cos'è una password sicura e che cosa non lo è. Sempre tenendo ben presente che una volta trovata una password sicura bisogna anche imparare a conservarla.


106

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Gianluca DS

O magari vince chi si ritiene più furbo e non scrive la sua password su internet... le probabilità sono esattamente le stesse ;)
Va bene stare attenti, ma scrivere qualche carattere a caso su un sito a caso non farà mai male a nessuno... cautela sì, ipocondria no :)

takaya todoroki

Beh sai, la possibilità di vincere alla lotteria sono molto basse, ma ogni anno qualcuno vince, guarda un po'...

E magari vince uno di quelli che scriveva "Allora posso stare tranquillo, dubito potranno mai effettuare un bruteforce in locale sul mio portatile"

Pito

E intanto si fanno un bel database di psw...

Gianluca DS

Allora posso stare tranquillo, dubito potranno mai effettuare un bruteforce in locale sul mio portatile e in ogni caso la password dell'account Windows non l'ho inserita, quindi non gli gioverebbe ;)

takaya todoroki

la mia inizia con il tasto invio e prosegue con 108 caratteri

glukosio

scrivetemi la vostra password Paypal, vi dirò se è sicura

takaya todoroki

Le aggiungono tutte ad un dizionario.
Un dizionario di centinaia di milioni di voci può essere usato in un battito di ciglia una volta caricato in RAM nel modo giusto.
Certo, non le usano su un servizio remoto che ha numero di tentativi bloccati e lag fra input ed output, ma funziona bene in locale e nel caso in cui entri in possesso di un DB con gli hash della password (non salted)

mic-chrome

Vedrai che la digito la mia password... Stronz@t@.

Gianluca DS

Mah, come potrebbero utilizzare la password senza sapere dove usarla e quale delle dodici che ho usato è quella reale, sempre che io ne abbia usata una reale? Inoltre il calcolo viene fatto in tempo reale, non è che scrivi "password" e poi premi invio. Se scrivi "password" la tua password potrebbe essere "pass", poi magari ci hai aggiunto "word" per vedere cosa sarebbe cambiato. Oppure la password è "passw" e ci hai aggiunto "ord". Oppure è "pasword" e ci hai aggiunto una s al centro......
Naaah :)

takaya todoroki

Semplicemente fa il peggior brute force possibile che è l'ultima spiaggia dopo aver provato quelli più mirati

talme94

Eh beh non diranno mica "installa nod32!"

paolo

chetooldelcazzo
4685 millenni

Igor Mishin

Ma su feissbuk c'era un'immagine di Gesoo che diceva che se gli vogliamo bene dovevamo scrivergli la nostra password! Io ci voglio bene a Gesoo!

Claudio 23

1
MILLENNIA
1
CENTURIES
3
DECADES
8
YEARS
3
MONTHS
1
WEEKS
3
DAYS
1
HOURS
43
MINUTES
59
SECONDS
85
JIFFIES
4
MILLISECONDS

Scrivendo "Password"

Barx

Bhe diciamo che dobbiamo impegnarci un pò di piu sulla trasformata di Fourier...

Aragorn 29

Folle anche solo l'idea di testare una password simile alla vostra....
Domandatevi se l'idea e lo sbattimento di fare un operazione del genere è tesa al bene comune... o al bene di chi la mette in pratica....poi agite a vs. rischio e pericolo.

Non ci vuole un genio per creare una password ragionevolmente difficile.

Dany

"supercalifragilistichespiralidoso" ci mette un tempo infinito, buono a sapersi XD
Comunque è da pazzi mettere la propria password in certi siti, al massimo si può provare qualcosa di simile se proprio si è curiosi

Gianluca DS

Quindi un attacco bruteforce con processore del 2016 impiegherebbe più di tre secoli per indovinare "1234567890a"? E poi i provider internet ca*ano il ca**o quando devi scegliere una nuova password perché "è troppo semplice".........
Secondo me sono calcoli sballatissimi, onestamente

d4N

Ma oggi giorno non si possono usare tool che sfruttano la GPU per fare questo tipo di operazioni?
Mi sembra che stavano iniziando a svilupparli anni fa con ottimi risultati

Tiwi

tool sicuramente interessante! tuttavia, le tempistiche potrebbero essere sballate, e non di poco, se si considera che tanta gente utilizza come pass date di nascita, nomi di figli animali o cose del genere..
io ho fatto una prova banale..ho messo una data di nascita e, in base ai numeri, mi ha detto che ci vorrebbero anni per decifrarla, quando invece, x esempio, potrebbe essere la prima cosa che uno va a provare...
ma cmq..è stato divertente :D

a'ndre 'ci

alcuni, sicuramente si...
altri dicono di averne usata una simile dopo essersi accorti di aver fatto una ca..ata...
la maggior parte mette la propria password.

In ogni caso, dovresti esserti accorto dell''intelligenza media nel periodo di "inviti per inbox"; in cui tutti scrivevano il proprio indirizzo mail in chiaro nei commenti...
ci eravamo divertiti a mandare mail a tutti...

Elias Koch

Allo stato attuale per le mie pass chiede infiniti tentativi...non male

lupo

Pensavo che l'intelligenza media di chi frequenta questi blog, arrivasse a capire di metterne una somigliante.

ellios76

No quella password la uso per i forum, la mail ed altre cose a cui tengo sono combinazioni di lettere maiuscole e minuscole con numeri

Alberto

Sono dei geni..si fanno un database geolocalizzato. Ma sul serio testate le vostre password? Esiste anche il sito per testare le carte di credito..ahah

Gabrix93

In realtà tramite quel tool si creerà un db che servirà proprio per attacchi brute force...:P

Quotatore

Quoto

Gark121

Per i software che esistono al momento, decisamente più di quanto ci mette sta roba. Al momento siamo molto lontani dallo sfruttare quella roba decentemente. C'è da riscrivere l'informatica in pratica

Quotatore

Quoto

Quotatore

Quoto

a'ndre 'ci

si

a'ndre 'ci

click

Gigiobis

La mia è composta da numeri e lettere, l'ho inserita cambiandoli, ovviamente....

Gigiobis

260.000 millenni e "spiccioli"... non male come pwd della mail. Se aggiungo 1 maiuscola siamo ad "infinito"

Giuliano

Ho pensato esattamente la stessa cosa appeno ho letto il titolo dell'articolo :D

Nino

metti anche l'email per comodità :)

Nino

eh?? un attacco brute force su ip diversi e la tua password crolla in meno di 1 ora....certo che se è la password dell'email o di skygo, nn muore nessuno :)

Nino

il carattere speciale cambia il mondo. provate ad esempio una sequenza di numeri qualsiasi(nn importa quanto, ci dirà sempre mezzo secondo o circa) e poi aggiungete un solo carattere speciale. per esempio la differenza tra 0123456789 e 0123456789'

Nino

vedo già gente che prova TUTTE le sue password reali.....che ridere, devo mettere un tool simile su un mio sito :D

root

Si che poi oltre a quello dopo un ragionevole tentativo di login fallito un qualsiasi servizio dovrebbe metterti in una bella blacklist...

Marcomanni

145 millenni per una password che ho fatto circa a 6 anni e ha superato i 20. Non male.

Miocardio

È comunque per quelle online ci sarebbe un limite intrinseco nel Ping e qualche altra latenza oltre un tot al secondo non potrebbero essere richieste. Per curiosità qualcuno provasse a fare un calcolo.

lupo

Ma c'è gente che mette la propria psw sul serio?

Barx

Ma se usassi la cpu quantistica che IBM ha messo a disposizione come risorsa cloud quanto tempo ci vorrebbe per violare qualsiasi sistema crittografico del pianeta "banche incluse"? Questa è la domanda!

Miocardio

Direi che hanno trovato un ottimo metodo per creare un mega database di password e casomai studiarsele pure

Barx

Poi arrivarono i computer quantistici e ciao password classiche da Millenni a millisecondi XD

Nico Ds

Io ho provato una password creata e codificata con lo stesso algoritmo che uso allo scopo

Nico Ds

2 millenni 3 secoli e qualche decennio... Direi che l'algoritmo mnemonico che uso per creare e ricordare le password funziona :)

maxifrancesco

Per ogni anno se vedi c'è il processore utilizzato. Per il 2015 usato l'i5 6600k. Sarebbe interessante vedere quanto cambia con un 10 core +ht

mara

Simpatico. La spiegazione può essere utile ai non tecnici. chissà se chi lo legge si rende conto che le password tipo 12345 sono deleterie.

Recensione e Riprova Google Pixel Buds Pro, rinate con l'aggiornamento

24H con Oppo Find N2 Flip, la sfida a Samsung è servita | VIDEO

Abbiamo provato i nuovi Galaxy Z Fold4 e Z Flip4, ecco le novità! | VIDEO

Copertura 5G, a che punto siamo davvero? La nostra esperienza in città