Ricerca

lunedì 21 aprile


Un mondo di password: tutti i segreti e i programmi più utili

Un mondo di password: tutti i segreti e i programmi più utili

di Michele Nasi (19/06/2003)


Ogni servizio che utilizziamo in Rete, dall'account di posta elettronica al servizio di online banking, richiede l'uso di una password che, associata al nome utente scelto (username) permette di proteggere le proprie informazioni dagli accessi non autorizzati.
Molti programmi offrono poi la possibilità di proteggere con una password personale i documenti od i file da essi prodotti. E' il caso, ad esempio, dei software contenuti nel pacchetto Microsoft Office, oppure di utilità per la creazione di archivi compressi come WinZip o WinRAR.

Va tuttavia sottolineato come alcuni programmi offrano uno scarso livello di protezione: facendo uso di speciali utilità, talvolta è possibile recuperare una password dimenticata in modo pressoché istantaneo. Nel caso, invece, di documenti creati con software che usano algoritmi di protezione mediante password piuttosto complessi, risalire alla parola chiave può diventare un'impresa titanica. Se la password è stata scelta, poi, da parte dell'utente, con cognizione di causa (lunga e composta da caratteri alfanumerici), scovarla è praticamente impossibile. A titolo di esempio, ricordiamo che una password di otto caratteri costituita da sole lettere minuscole, richiede, nel caso peggiore, circa 208 miliardi di tentativi.

Esistono programmi, come Advanced Zip Password Recovery, che sono in grado di provare diversi milioni di password al secondo, sfruttando i processori di ultima generazione. L'operazione di recupero di una password si complica enormemente se viene utilizzato tutto l'insieme dei caratteri ASCII, costituito da 256 elementi (per una password lunga sei caratteri le combinazioni possibili sono 256 elevato alla sesta ossia circa 281.474.976.711 miliardi).
Questo articolo non vuole incitare all'utilizzo di strumenti software in grado di permettere l'accesso ad informazioni di proprietà altrui; il nostro intento è invece quello di presentarvi programmi e metodologie per recuperare password con le quali avete protetto i vostri documenti e, con il passare del tempo, avete dimenticato. L'articolo vuole rappresentare, inoltre, una guida nella delicata scelta delle password migliori ed un ausilio nell'avvicinarsi al mondo della crittografia.

Iniziamo con un esempio pratico. I file zip sono, com'è risaputo, archivi compressi: si tratta di un formato, universalmente utilizzato, che permette di memorizzare, in un unico comodo file, una serie di documenti e file. Il formato zip permette di associare, all'archivio, una password che può essere costituita da lettere, numeri e caratteri speciali: tale funzione può essere sfruttata per impedire l'accesso al contenuto dell'archivio compresso da parte delle persone non autorizzate.
Tutti i software che permettono di creare e gestire archivi compressi in formato zip, includono una funzione per la protezione dei file mediante password. In WinZip (www.winzip.com) una password può essere aggiunta semplicemente cliccando sul pulsante Password situato nella finestra Add.

Esistono diversi programmi, prelevabili dalla Rete Internet, in grado di tentare il recupero di una password dimenticata. Abbiamo scelto per voi due strumenti eccellenti: Zip Password Finder e Advanced Zip Password Recovery. Il primo è un software completamente gratuito, distribuito da Astonsoft in grado di recuperare password da file ZIP di qualunque formato esse siano; il secondo è un software a pagamento, leader nel settore.
Per estrarre la password da un file ZIP protetto, non sono stati, ad oggi, scoperti algoritmi specifici. L'unico modo per risalire alla password è quello di tentare tre diverse tipologie di approccio: brute force attack, dictionary-based attack e known-plaintext attack.

Il brute force, come suggerisce il nome stesso, è un attacco che si basa su tentativi successivi: un programma che permette l'uso del brute force attack forza l'apertura di un file ZIP utilizzando tutte le combinazioni possibili per la password, fino a trovare quella esatta.
Il dictionary attack è, invece, un attacco basato su parole di uso comune: molto spesso si usano termini che fanno parte del linguaggio o nomi propri per proteggere un file. I programmi che mettono a disposizione il dictionary attack si basano proprio su questa filosofia.
Un known-plaintext attack, è invece un tipo di attacco basato sull'utilizzo di una versione non codificata e non compressa di uno dei file contenuti nell'archivio protetto da password. Questo file è usato per "decodificare" tutti gli altri. Supponiamo, per esempio, che tre file siano codificati all'interno di uno stesso archivio zip che fa uso della medesima password per tutti i file. Si assuma, inoltre, di aver a disposizione una copia non compressa di uno dei tre file e di essere interessati agli altri due. Un attacco di tipo known-plaintext può essere utilizzato, in questa circostanza, non solo per decodificare gli altri due file ma anche per risalire alla password. Un attacco di tipo known-plaintext è molto complicato ma, solitamente, è quello che dà i risultati migliori.
Articolo seguente: Administrator's Pak 4.0: ridare vita ai sistemi che non si avviano
Articolo precedente: Progettazione di database: aspetti teorici
810292 letture
Ultimi commenti
inviato da Michele Nasi > pubblicato il 24/03/2010 11:24:19
L'articolo che hai commentato è molto vecchio (presto aggiungeremo la visualizzazione della data negli articoli): a quel tempo Password Depot era distribuito a titolo gratuito. Keepass è un software eccellente già più volte recensito nelle pagine de IlSoftware.it: http://www.ilsoftware.it/ricerca.asp?q=keepass&d=0 Grazie per il tuo commento. :wink:
inviato da fango > pubblicato il 24/03/2010 10:45:14
perchè dite che password-depot è gratuito? non lo è affatto !!! mettete dentro kee pass


Leggi tutti i commenti

Commenta anche su Facebook

Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2014

Pubblicità | Contatti | Informazioni legali | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS