La protezione con password è un'efficiente tecnica di controllo degli accessi che tutti noi utilizziamo quotidianamente. Probabilmente rimarrà un importante pilastro della sicurezza informatica per gli anni a venire.
I criminali informatici, d'altra parte, utilizzano metodi diversi per decifrare le password e ottenere l'accesso non autorizzato. Ciò include gli attacchi al tavolo arcobaleno. Ma cosa sono gli attacchi al tavolo arcobaleno e quanto sono pericolosi? Ancora più importante, cosa puoi fare per proteggerti da loro?
Come vengono memorizzate le password?
Nessuna piattaforma o applicazione che prende sul serio la sicurezza memorizza le password in testo semplice. Questo significa che se la tua password è "password123" (e non dovrebbe assolutamente esserlo, per ovvi motivi), non verrà memorizzata come tale, ma piuttosto come una combinazione di lettere e numeri.
Questo processo di conversione del testo semplice in una combinazione di caratteri apparentemente casuale è chiamato hashing delle password. E le password sono sottoposte ad hashing con l'aiuto di algoritmi, programmi automatici che utilizzano formule matematiche per rendere casuale e oscurare il testo normale. Alcuni degli algoritmi di hashing più noti sono: MD5, SHA, Whirlpool, BCrypt e PBKDF2.
Quindi, se prendi la password "password123" e la esegui attraverso il file Algoritmo MD5, questo è ciò che ottieni: 482c811da5d5b4bc6d497ffa98491e38. Questa stringa di caratteri è la versione con hash di "password123" e il formato in cui la tua password verrebbe archiviata online.
Quindi diciamo che stai accedendo al tuo account di posta elettronica. Digiti il tuo nome utente o indirizzo e-mail, quindi la password. Il provider di posta elettronica converte automaticamente il testo normale che hai inserito nel suo valore con hash e lo confronta con il valore con hash che aveva inizialmente memorizzato quando hai impostato la tua password per la prima volta. Se i valori corrispondono, sei autenticato e ottieni l'accesso al tuo account.
Come si svolgerebbe allora un tipico attacco al tavolo arcobaleno? L'autore della minaccia dovrebbe prima ottenere gli hash delle password. Per fare ciò, eseguirebbero un qualche tipo di attacco informatico o troverebbero un modo per aggirare la struttura di sicurezza di un'organizzazione. Oppure comprerebbero una discarica di hash rubati nel dark web.
Come funzionano gli attacchi al tavolo arcobaleno
Il prossimo passo sarebbe convertire gli hash in testo normale. Ovviamente, in un attacco al tavolo arcobaleno, l'attaccante lo farebbe usando un tavolo arcobaleno.
Le tabelle arcobaleno sono state inventate dall'esperto IT Philippe Oechslin, il cui lavoro si è basato sulla ricerca del crittologo e matematico Martin Hellman. Prendendo il nome dai colori che rappresentano diverse funzioni all'interno di una tabella, le tabelle arcobaleno riducono il tempo necessari per convertire un hash in testo normale, consentendo così al criminale informatico di eseguire maggiormente l'attacco in modo efficiente.
In un ordinario attacco di forza bruta, ad esempio, l'autore della minaccia dovrebbe decodificare separatamente ogni password con hash, calcolare migliaia di combinazioni di parole e quindi confrontarle. Questo metodo per tentativi ed errori funziona ancora e probabilmente lo farà sempre, ma richiede molto tempo e un'enorme potenza di calcolo. Ma in un attacco alla tabella arcobaleno, un utente malintenzionato dovrebbe solo eseguire un hash della password ottenuto attraverso un database di hash, quindi suddividerlo e ridurlo ripetutamente, fino a quando non viene rivelato il testo normale.
Questo, in poche parole, è come funzionano gli attacchi al tavolo arcobaleno. Dopo aver decifrato una password, un attore di minacce ha innumerevoli opzioni su come procedere. Possono prendere di mira la loro vittima in diversi modi, ottenendo l'accesso non autorizzato a tutti i tipi di dati sensibili, comprese le informazioni relative alla cottura online e simili.
Come proteggersi dagli attacchi del tavolo arcobaleno
Gli attacchi al tavolo arcobaleno non sono così comuni come una volta, ma rappresentano ancora una minaccia significativa per le organizzazioni di tutte le dimensioni e anche per gli individui. Fortunatamente, ci sono modi per proteggersi da loro. Ecco cinque cose che puoi fare per prevenire un attacco al tavolo arcobaleno.
1. Imposta password complesse
L'uso di password lunghe e complesse è un must assoluto. Una buona password dovrebbe essere univoca e includere lettere maiuscole e minuscole, numeri e caratteri speciali. La maggior parte delle piattaforme e delle app in questi giorni richiede agli utenti di farlo comunque, quindi assicurati di farlo creare una password indistruttibile che non dimenticherai.
2. Usa l'autenticazione a più fattori
L'autenticazione a più fattori (MFA) è un meccanismo di sicurezza semplice ma potente che rende inutili la maggior parte degli attacchi con password. Con la configurazione MFA, non puoi accedere a un account utilizzando solo nome utente e password. Invece, devi fornire un'ulteriore prova della tua identità. Ciò può variare dalla conferma del numero di telefono e dall'inserimento di un PIN temporaneo, alla verifica dell'impronta digitale e alla risposta a una domanda di sicurezza personale.
3. Diversifica le tue password
Se usi la stessa password ovunque, una sola violazione è sufficiente per compromettere tutti i tuoi account, non importa quanto valida possa essere quella password. Ecco perché è importante utilizzare una password diversa per ogni account. Se andare senza password è un'opzione, considera anche questo: se non stai utilizzando una password, non puoi cadere vittima di un attacco al tavolo arcobaleno o di qualsiasi altro attacco basato su password per quella materia.
4. Evita algoritmi di hashing deboli
Alcuni algoritmi di hashing, come MD5, sono deboli, il che li rende un bersaglio facile. Le organizzazioni dovrebbero attenersi ad algoritmi all'avanguardia come SHA-256, che è così sicuro da essere utilizzato dalle agenzie governative negli Stati Uniti, in Australia e altrove. Come persona normale, dovresti cercare di evitare piattaforme e app che utilizzano una tecnologia obsoleta.
5. Utilizza il salting delle password
L'hashing delle password è un'ottima e necessaria misura di sicurezza, ma cosa succede se tu e un'altra persona utilizzate la stessa password? Anche le loro versioni con hash sarebbero identiche. È qui che entra in gioco un processo chiamato salatura. Il salting della password si riduce essenzialmente all'aggiunta di caratteri casuali a ogni password con hash, rendendola così completamente unica. Anche questo suggerimento vale sia per le organizzazioni che per gli individui.
Comprendi la sicurezza delle password per stare al sicuro
La sicurezza delle password in quanto tale è fondamentale quando si tratta di prevenire accessi non autorizzati e diversi tipi di attacchi informatici. Ma implica molto di più che inventare una frase unica e facile da ricordare.
Per aumentare la tua sicurezza informatica complessiva, devi capire come funziona davvero la protezione tramite password e quindi adottare misure per proteggere i tuoi account. Questo può essere un po' opprimente per alcuni, ma l'utilizzo di metodi di autenticazione affidabili e un gestore di password può fare un'enorme differenza.