Schneier: "Le password del mondo reale"
Quanto sono valide le password che le persone scelgono per proteggere i propri computer e i propri account online?
È una domanda a cui è molto difficile rispondere, data la scarsità di dati a riguardo. Ma recentemente un mio collega mi ha inviato alcuni estratti risultanti da un attacco di phishing ai danni di MySpace: 34.000 nomi utente e password reali.
L’attacco è stato piuttosto elementare: gli aggressori hanno creato una finta pagina di login di MySpace e hanno raccolto le informazioni di login di quegli utenti che erano convinti di accedere ai propri account su quel sito. I dati sono stati inoltrati a una serie di server Web compromessi, dai quali gli aggressori li avrebbero raccolti in un secondo momento.
Secondo le stime di MySpace, più di 100.000 persone sono state vittime dell’attacco prima che fosse bloccato. I dati in mio possesso provengono da due punti di raccolta diversi, e sono stati ripuliti della piccola percentuale di persone che hanno capito di star rispondendo a un attacco di phishing. Ho analizzato i dati, e ne ho dedotto quanto segue.
Lunghezza delle password: se il 65% delle password contiene otto caratteri o meno, il 17% è costituito da sei caratteri o meno. La lunghezza media di una password è di otto caratteri.
Nello specifico, la distribuzione della lunghezza delle password è la seguente:
1-4 caratteri: 0.82%
5 caratteri: 1.1%
6 caratteri: 15%
7 caratteri: 23%
8 caratteri: 25%
9 caratteri: 17%
10 caratteri: 13%
11 caratteri: 2.7%
12 caratteri: 0.93%
13-32 caratteri: 0.93%
Sì, vi è una password lunga 32 caratteri:
“1ancheste23nite41ancheste23nite4”. Altre password lunghe sono “fool2thinkfool2thinkol2think” e “dokitty17darling7g7darling7”.
Composizione delle password: se l’81% delle password sono alfanumeriche, il 28% sono composte semplicemente da lettere minuscole e una cifra finale, e per i due terzi di tale percentuale quella cifra è 1. Solo un 3,8% delle password sono una parola intera presente nel dizionario, e un altro 12% è costituito da password composte da una parola del dizionario più una cifra finale; ancora una volta, per i due terzi di tale percentuale la cifra è 1.
Solo numeri: 1,3%
Solo lettere: 9,6%
Alfanumeriche: 81%
Non-alfanumeriche: 8,3%
Solo lo 0,34% degli utenti ha utilizzato la porzione del nome utente del proprio indirizzo email come password.
Password più comuni: le 20 password più usate sono (nell’ordine): password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 e monkey.
La password più comune in assoluto, “password1”, è stata usata per lo 0,22% di tutti gli account. Dopodiché la frequenza diminuisce rapidamente: “abc123” e “myspace1” sono state impiegate soltanto nello 0,11% di tutti gli account, “soccer” [gioco del calcio] nello 0,04% e “monkey” [scimmia] nello 0,02%.
Per chi non lo sapesse, Blink 182 è un gruppo musicale. Presumibilmente molte persone utilizzano il nome di quel gruppo perché contiene numeri, e quindi sembra un’ottima password. Il gruppo Slipknot non ha numeri nel
proprio nome, e questo spiega il numero “1” aggiunto in coda. La password “jordan23” fa riferimento al giocatore di basket Michael Jordan e al suo numero di maglia. E, naturalmente, “myspace” e “myspace1” sono
password facili da ricordare per un account MySpace. Non capisco invece che cosa c’entrino le scimmie.
Eravamo soliti scherzare dicendo che “password” è la password più comune. Adesso è “password1”. Chi ha detto che gli utenti non hanno imparato nulla sulla sicurezza?
Battute a parte, le password stanno migliorando. Sono impressionato dal fatto che meno del 4% delle password erano parole del dizionario e che la stragrande maggioranza erano almeno alfanumeriche. Nel 1989 Daniel
Klein fu in grado di craccare il 24% delle sue password di esempio con un piccolo dizionario di soli 63.000 termini, e scoprì che la lunghezza media delle password era di 6,4 caratteri.
E nel 1992 Gene Spafford ha craccato il 20% delle password con il suo dizionario, e ha scoperto che la lunghezza media delle password era di 6,8 caratteri. (Entrambi hanno studiato password Unix, che all’epoca
avevano una lunghezza massima di otto caratteri). Ed entrambi hanno riportato una percentuale molto maggiore di password con caratteri tutti minuscoli, e password tutte minuscole con l’iniziale maiuscola, rispetto ai dati emersi dal caso MySpace. Il concetto di scegliere buone password sta cominciando ad attecchire, almeno in minima parte.
D’altro canto il campione demografico di MySpace è piuttosto giovane. Un altro studio sulle password condotto a novembre ha esaminato 200 password di impiegati di azienda: il 20% composte da sole lettere, il 78% alfanumeriche, il 2,1% con caratteri non-alfanumerici e una lunghezza media di 7,8 caratteri. Meglio rispetto a 15 anni fa, ma non agli ottimi livelli degli utenti di MySpace. I giovani sono davvero il nostro futuro.
Niente di tutto questo però cambia il fatto che l’utilità delle password come serio strumento di sicurezza è sorpassata da un pezzo. Nel corso degli anni, i cracker di password sono diventati sempre più veloci. Gli attuali prodotti in commercio possono verificare decine, anche centinaia di milioni di password al secondo. Allo stesso tempo esiste un livello massimo di complessità per memorizzare una password da parte dell’utente medio. I limiti oltrepassati anni fa, e le tipiche password del mondo reale, oggi sono indovinabili dai software. Il Password Recovery Toolkit di AccessData, al ritmo di 200.000 tentativi al secondo, avrebbe potuto craccare il 23% delle password di MySpace in 30 minuti, e il 55% in otto ore.
Ovviamente questa analisi presuppone che l’aggressore possa impadronirsi del file con la password criptata e lavorarci sopra offline, a suo piacimento; ovvero nel caso in cui la stessa password sia stata usata per criptare un’email, un file o un disco rigido. Le password possono ancora funzionare se si riescono a evitare attacchi offline, e si fa attenzione a eventuali attacchi online. Inoltre vanno bene in quelle situazioni di sicurezza di basso valore, o nel caso si utilizzino password davvero complesse e software come Password Safe per conservarle.
Per il resto, una sicurezza basata sulle sole password è piuttosto rischiosa.
Aprile 12th, 2007 at 10:28 pm
Molto interessante il tuo articolo. Mi era arrivato anche a me il tentativo di phishing e per fortuna, essendo un esperto del settore, gli ho risposto picche.
Il problema delle password è un problema molto serio che la gente fatica ad inquadrare. Io ho sviluppato da qualche mese PassPack, un gestore di password online Ajax con un elevato livello di sicurezza e tantissime funzionalità (anti-phishing, doppia chiave, anti-keylogger, ecc.) e la cosa più interessante che emerge dalle email che riceviamo è che la gente utilizza sempre le stesse password limitandosi a minime variazioni. Così abbiamo aggiunto un generatore di password e sto per aggiungere un misuratore di qualità (in bit).
Trovo che si dovrebbe cercare di sensibilizzare le persone al problema per evitare che succedano problemi. Se consideriamo che la gente usa password a rotazione il vero problema del phishing agli utenti di MySpace e che moltissimi di loro usano per la connessione alla banca o alla carta di credito una password probabilmente simile se non uguale a quella che gli è stata presa. Quindi il rischio vero è altissimo e non credo che si sia posta abbastanz enfasi sugli aspetti secondari della vicenda MySpace.
Del resto, è vero che le sole password non garantiscono la sicurezza, ma certamente se fossero utilizzate in maniera propria, sarebbero difficilmente indovinabili.
PassPack, per capirsi, utilizza AES a 128-bit, ma sebbene la chiave derivata utilizzata per cifra i dati sia a 128-bit, la chiave di base spesso è a soli 20-bit e quindi anche se poco intuibile, resta comunque facile da beccare in caso di attacco di forza bruta.
Ma non voglio rubarti spazio.
Complimenti per il blog che è veramente molto interessante.
Ciao,
Francesco
http://www.passpack.com