6,5 milioni di utenti a rischio sul social network dedicato al business
La notizia è stata confermata anche dalla stessa LinkedIn, con un articolo sul proprio blog. Un file con 6,5 milioni di password è stato in qualche modo rubato. Le password ovviamente non sono “in chiaro”, ma sono criptate, utilizzando un metodo molto comune a diversi fornitori di servizi, SHA1. Con questo algoritmo di criptazione, la password viene trasformata in una sequenza di caratteri esadecimali e non esiste un modo per ritrasformarla nella password originale (algoritmo one-way). Uno dei metodi che si usano per risalire alla password originale è quello basato sui dizionari. Si provano delle parole di uso comune (o combinazioni di esse) e si vede se una volta criptate con SHA1 corrispondono alla password criptata. Con questo metodo è molto semplice scovare tutte quelle password che non usano combinazioni di lettere minuscole/maiuscole, numeri e punteggiatura.
Ma non sempre è così facile. Se la password non è ricostruibile con il metodo dei dizionari, si può utilizzare un attacco di tipo brute-force, ovvero si provano tutte le possibili combinazioni di caratteri e si confrontano le combinazioni criptate con le password criptate in nostro possesso. Utilizzando lo stato dell’arte della velocità computazionale, una scheda grafica ATI Radeon 7970 (si, avete capito bene, una scheda grafica, non un generico processore), si riescono a calcolare 2 miliardi di combinazioni al secondo. Considerando che ogni carattere di una password può avere circa 100 combinazioni (tra lettere minuscole, maiuscole, punteggiatura, numeri, simboli, ecc…), vuol dire che una password di 5 caratteri può avere 100 x 100 x 100 x 100 x 100 possibili combinazioni, ovvero 10 miliardi. Quindi una password di 5 caratteri in 5 secondi può essere scovata nel caso peggiore; in media possiamo considerare anche meno.
Come ci difendiamo dagli hacker?
Se aumentiamo il numero di caratteri della nostra password, la complessità aumenta in modo esponenziale. Considerando sempre il caso peggiore (per un hacker), per esempio, una password di 6 caratteri richiede 500 secondi per essere decriptata. Una di 7 caratteri 13 ore. Una di 8 caratteri circa 57 giorni.
E’ evidente che chi ha una password di 7 lettere può considerarsi già fregato. Una password di 9 caratteri richiede ben 15 anni per essere forzata.
La prima regola per scegliere una buona password quindi sta nella sua lunghezza. Più di 9 caratteri (per il momento) vi mettono in una condizione di relativa tranquillità. Diciamo che se la vostra password fosse nell’elenco dei 6,5 milioni rubate a linkedin, e fosse di 15 caratteri, potreste stare tranquilli. A patto che non abbiate usato la vostra data di nascita, o il nome della vostra fidanzata/moglie, o una combinazione di essi, o il nome di vostro figlio con l’anno di nascita. Sono le cose che ci ricordiamo meglio, ma purtroppo sono anche quelle che rendono banale una password e facilmente individuabile con semplici algoritmi tipo brute-force o Rainbow Table.
La cosa più saggia da fare sarebbe quella di utilizzare sequenze casuali di lettere, numeri e simboli, magari in un numero non inferiore a 15. Ovviamente questa pratica richiede un notevole sforzo mnemonico, o addirittura rende impossibile ricordarsi le proprie password. Possiamo quindi utilizzare una tecnica alternativa, ovvero usare come password delle frasi, alternando lettere maiuscole e minuscole, e inserendo qualche simbolo o della punteggiatura.
Una password come “LaNeBbiaAgliIrtiColli***1975!!!” è praticamente impossibile da violare con l’algoritmo brute-foce, ma abbastanza facile da ricordare.
In alternativa possiamo usare programmi come PassKeeper per registrare tutte le nostre password e averle sempre a portata di mano.
Come possiamo sapere se la nostra password è stata rubata?
Per quanto riguarda questo caso, LinkedIn ha dichiarato che gli utenti coinvolti nel furto delle password verranno avvisati con una mail, che conterrà le istruzioni per resettare la password. Nel frattempo a questi account verrà disabilitato l’accesso. Questi utenti inoltre, riceveranno una seconda mail con delle spiegazioni più dettagliate su quanto è successo. In ogni caso, la lista non conteneva i nomi degli utenti. Quindi non dovrebbero esserci rischi.
Oppure potete controllare a questo indirizzo (non serve mettere il nome utente, solo la password): http://leakedin.org/
Se ci è stata rubata la password però non è sufficiente cambiarla. Se usate la stessa password per altri servizi come Facebook, Twitter, Gmail, ecc… (pessima pratica, da evitare sempre), o peggio ancora per servizi bancari o carte di credito, dovreste pensare di cambiare anche quelle password, perché potrebbero non essere più sicure.
Meno di un mese fa era capitato a Twitter, con circa 35.000 password pubblicate in rete, e questa volta con annessi i relativi nomi utente.
Il pericolo più grosso ora è il Phishing
Attenzione al phishing! In queste ore potrebbero arrivare diverse email con l’aspetto di “LinkedIn”, ma che in realtà di LinkedIn non sono, e vi chiedono di cambiare la password. Fate molta attenzione all’indirizzo email dal quale arrivano e soprattutto all’indirizzo web a cui vi rimandano. E’ molto facile che siano dei tentativi di indurvi a scrivere la vostra password attuale per poi registrarla e “rubarvela”.
Se avete qualche dubbio sulla sicurezza della vostra azienda, Agenzia23 è in grado di fornire consulenza qualificata e soluzioni rapide ed efficaci. Contattateci via email a sicurezza@web2life.it per una visita gratuita e senza impegno.