Alla connessione ad un sistema informatico, questo richiede la maggiorparte delle volte un identificativo (in inglese login o username) e una password per accedervi. Questa coppiaidentificativo/password 'forma quindi la chiave che permette di ottenere un accesso al sistema.
Se l'identificativo è generalmente automaticamente attribuito dal sistema o dal suo amministratore, la scelta della password è spesso lasciata all'utilizzatore. Così, la maggiorparte degli utilizzatori, stimando di non avere niente di veramente segreto da proteggere, si accontentano di usare una password facile da ricordare (ad esempio il loro identificativo, il nome del loro coniuge o la loro data di nascita).
Ora, anche se i dati sull'account dell'utilizzatore non hanno un carattere strategico, l'accesso all'account dell'utilizzatore è comunque una porta aperta verso tutto il sistema. In effetti, dal momento in cui un pirata ottiene un accesso ad un account di un terminale, gli è possibile allargare il suo campo d'azione ottendendo la lista degli utilizzatori autorizzati a connettersi al terminale. Con l'aiuto di strumenti che generano delle password, il pirata può provare un grande numero di password creati casualmente o con l'aiuto di un dizionario (oppure una combinazione dei due). Se trova per caso la password dell'amministratore, ha allora ottenuto tutti i permessi sul terminale!
Inoltre, partendo da un terminale di rete, il pirata può eventualmente ottenere un accesso alla rete locale, il che significa che può redigere una cartografia degli altri server attraverso quello di cui ha avuto un accesso.
Le password degli utilizzatori rappresentano quindi la prima difesa contro gli attacchi verso un sistema, ed è la ragione per la quale è necessario definire una politica in materia di password così da imporre agli utilizzatori la scelta di una password sufficientemente sicura.
La maggiorparte dei sistemi sono configurati in maniera da bloccare temporaneamente l'account di un utilizzatore dopo un certo numero di tentativi di connessione infruttuosi. Così, un pirata può difficilmente infiltrarsi in un sistema in questo modo.
Dall'altro lato, un pirata può servirsi del suo meccanismo di auto-difesa per bloccare l'insieme degli account utilizzatori così da provocare un blocco del servizio.
Nella maggiorparte dei sistemi le password sono immagazzinate in maniera cifrata (« criptata ») in un file o in un database.
Inoltre, quando un pirata ottiene un accesso ad un sistema e ottiene questo file, sarà in grado di forzare la password di un particolare utilizzatore oppure l'insieme degli account utilizzatori.
Viene chiamato « Attacco da forza bruta » (in inglese « brute force cracking », talvolta ancheattacco esaustivo) la forzatura di una password testando tutte le password possibili. Esistono numerosi strumenti, per ogni sistema operativo. Questi strumenti servono agli amministratori di sistema per provare la solidità delle password dei loro utilizzatori ma il loro uso è spesso DETOURNE dai pirati informatici per introdursi nei sistemi informatici.
Gli strumenti d'attacco da forza bruta possono richiedere delle ore, anche dei giorni, di calcolo con dei terminali equipaggiati con processori potenti. Un'alternativa sta nell'effettuare un « attacco da dizionario ». In effetti, la maggiorparte delle volte gli utilizzatori scelgono delle password con un significato reale. Con questo tipo di attacco, una password simile può essere crackata in pochi minuti.
L'ultimo tipo di attacchi di questo genere, detto « attacchi ibridi », punta particolarmente le password costituite da una parola tradizionale e seguite da una lettera o da una cifra (come « marechal6 »). Si tratta di una combinazione d'attacco da forza bruta e d'attacco da dizionario.
Esistono quindi dei mezzi che permettono al pirata di ottenere le password degli utilizzatori :
Ovviamente più una password è lunga piu sarà difficile daforzare. D'altra parte, una password costituita unicamente da cifre sarà molto più semplice da forzare rispetto ad una con delle lettere:
Una password di 4 cifre corrisponde a 10 000 possibilità (104). Se questa cifra sembra elevata, basta ricordare che un computer dotato di una configurazione di base è capace di forzarla in pochi minuti.
Si preferirà così una password di 4 lettere, per la quale esistono 456 972 possibilità (264). Sulla stessa linea, una password che combini cifre e lettere, magari con maiuscole e caratteri speciali, sarà ancora più difficile da forzare.
Password daevitare :
L'accesso all'account di un solo dipendente di una società può compromettere la sicurezza globale di tutta l'organizzazione. Quindi, qualsiasi società che voglia garantire un livello di sicurezza ottimale deve mettere in opera una reale politica di sicurezza in materia di password. Si tratta soprattutto di imporre ai dipendenti la scelta di una password conforme ad alcune esigenze, ad esempio :
D'altra parte, è possibile rinforzare questa politica di sicurezza imponendo una durata di scadenza delle password, per obbligare gli utilizzatori a modificare regolarmente le loro password. Questo complica così il compito dei pirati che cercano di forzare le password sulla durata. Si tratta quindi di un eccellente mezzo di limitare la durata di vita delle password forzate.
Infine, si raccomanda agli amministratori di sistema di utilizzare dei software di forzatura delle password in interno sulle password dei loro utilizzatori per provarne la solidità. Questo deve farsi inoltre nel cadro della politica di sicurezza e essere messa per iscritto, così da avere l'approvazione della direzione e degli utilizzatori.
Non è saggio avere solo una password, come non lo è avere come codice bancomat lo stesso del proprio telefono cellulare o del codice digitale per la porta del vostro immobile.
Si consiglia quindi di possedere più password per categoria d'uso, secondo la confidenzialità del secreto che si deve proteggere. Il codice di un bancomat dovrà quindi essere dedicato solamente a questo uso. Invece, il codice PIN di un telefono cellulare può corrispondere a quello del lucchetto di una valigia.
Allo stesso modo, al momento dell'iscrizione ad un servizio in linea che richieda un indirizzo elettronico (ad esempio lanewsletter di Kioskea), si sconsiglia fortemente di scegliere la stessa password che permette di accedere alla messaggeria dato che un amministratore poco scrupoloso potrebbe dare senza problemi un'occhiata alla vostra vita privata!