Archivi categoria: Password

Tecniche software e statistiche per recuperare password di account.

Scoprire una password criptata

Il titolo di questo articolo “Scoprire una password criptata” racchiude in poche parole il sogno di molti hacker e di molte persone alla ricerca della password perduta.

Scoprire password

LeakDb è fondamentalmente un motore di ricerca per i dati sensibili reperiti in occasione di violazioni della sicurezza. Attualmente sono disponibili alla ricerca un database di password e di indirizzi e-mail.

Andiamo con ordine e capiamo come funziona LeakDb. Una password è solitamente memorizzata sul server in forma criptata. Questo assicura al detentore del sito la garanzia che i dati siano al sicuro perchè, se rubati, sono comunque criptati e quindi inutilizzabili.

Se abbiamo a disposizione la password criptata, servirebbero anni di calcolo per poterla decriptare. Esiste dunque un’idea geniale per bypassare il problema ed è esattamente il servizio che fornisce LeakDb.
Se avessimo a disposizione un database di password criptate accoppiate alla password in chiaro, basterebbe confrontare le stringhe criptate con la nostra password criptata per ottenere in pochi secondi la soluzione.

Il sistema è buono perchè le password usualmente sono sempre le stesse e questo ci garantisce buone probabilità di riuscita. Provare per credere.

Una password per distruggere l’hard disk

Recentemente Kali Linux ha aggiunto una caratteristica al tuo tool di codifica degli hard disk: una password per l’auto distruzione dei dati.

kali-1.0.5-release

Kali Linux è una avanzata e versatile distribuzione linux ideata per test di penetrazione. Kali è nato da BackTrack, ma è cresciuta ben oltre le sue umili origini come un CD live ed è ormai diventata un sistema operativo vero e proprio.

In un recente aggiornamento, il team di sviluppo “Offensive Security Developer Team” a capo del progetto Kali Linux, ha introdotto una nuova funzionalità di protezione denominata “auto-distruzione di emergenza di LUKS” alla loro utility  cryptsetup di cifratura completa del disco.

Se si dispone di una partizione LVM cifrata con LUKS sul Kali Linux, allora verrà richiesta una password all’avvio per consentire al sistema operativo di avviarsi e decrittografare l’unità disco. Adesso è stata anche aggiunta una opzione password “nuke” che, se immessa al posto della password di decrittazione, distruggerebbe tutti i dati contenuti nel disco rendendolo inutilizzabile al momento dell’avvio.

Quindi in qualsiasi situazione di emergenza, inserendo la password nuke, si potrebbe potreggere in modo definitivo i dati in esso contenuto.

Proteggere le password

I software di memorizzazione delle password lasciano il loro database criptato sul dispositivi su cui è utilizzato. L’ultima tendenza di questo tipo di software, condizionati dalla moda del “cloud”, è la trasmissione del prezioso database di password in repository più sicuri della propria macchina, permettendo di trasferire gli account sui vari dispositivi di proprietà.

I programmi di protezione della password più utilizzati sono questi:

1Password

Il più utilizzato dagli utenti Mac

Con 1Password dovrai semplicemente memorizzare una “master” password attraverso la quale avrai accesso a tutto il database di password e username. E’ quindi doveroso impostare una master password molto sicura. Il software può importare password già salvate sul browser e può rigenerarle in modo che siano difficilmente hackerabili. Unico tra i software elencati sotto, 1Password permette di salvare le password in file criptati sul disco. Inoltre è possibile utilizzare DropBox come mezzo di scambio di database per utilizzare 1Password anche su dispositivi mobili. 1Password funziona su Mac, iPhones e iPads, ed è compatibile con Safari, Firefox e Chrome. Non c’è la compatibilità con Blackberry

  • $50 per Mac o Windows,
  • $15 per iPhone/iPad;
  • gratis per il beta testing di Android

LastPass

Il più usato dagli utenti PC/Windows

Come 1Password, LastPass usa una master password ed ha uno strumento per generare password “sicure”. Il software inoltre permette di creare identià multiple con accesso a gruppi di password. Funziona a meraviglia con Explorer, Safari, Chrome e Firefox; è compatibile con  Windows e Mac; è inoltre l’unico a funzionare su  Linux e Blackberry. Unlike

  • Gratis per computer e iPad
  • $12 per anno per smartphone

Norton Identity Safe

Il più usato da utenti mobili che usano Internet Explorer

Symantec, la grande azienda di software per la sicurezza ha rilasciato Norton Identity Safe, un software gratuito per la memorizzazione e la sincronizzazione delle password tra più dispositivi. Il software funziona su PC, Mac/iPhone/iPad e dispositivi Android (ma non sul Blackberry), ed è compatibile con  Explorer, Chrome, Firefox e Safari. Il servizio non dispone delle funzionalità “extra”di LastPass e 1Password, come il generatore di password e la memorizzazione di info che non siano password. Norton Identity Safe è la miglior scelta per chi usa Internet Explorer.

Le password più usate…

E’ “123456” la password più usata. Questo risultato proviene da un’analisi condotta su un database di 32 milioni di password. Le conclusioni di questa ricerca? password corte, la mancanza di lettere maiuscole e cifre numeriche e l’uso di parole comuni rende il proprio account assolutamente insicuro e accessibile nel giro di un minuto attraverso l’uso di strumenti a forza bruta.

Altre considerazioni che sono state tratte sono:

  • In soli 110 tentativi, solitamente un hacker guadagna gli accessi a un nuovo account e impiega circa 17 minuti per entrare in 1000 account
  • Circa il 30% degli utenti usa password corte solo 6 caratteri (o meno)
  • Almeno il 60% degli utenti usa password con poca varità di caratteri
  • Circa il 50% degli utenti usa nomi propri, parole comuni o password banali (cifre consecutive, lettere adiacenti sullla tastiera, ecc…).

Il premio quindi a password più usata è “123456“. L’elenco delle altre password banali è il seguente:

Quanto è sicura una password?

Spesso per fretta o per pigrizia scegliamo password semplici e facili da ricordare. Il vantaggio è che le ricorderemo per un lungo tempo, ma avremo lo svantaggio di utilizzare password insicure.

password sicure

Microsoft ci aiuta a sconfiggere questo problema, pubblicando uno strumento online per verificare la robustezza della nostra password. Abbiamo 4 stati indicati da una progress bar: debole, media, sicura e migliore. In conclusione, poteto utilizzare o no questo Password Checker, ma vi consiglio di utilizzare sempre e comunque password robuste per non incorrere in spiacevoli sorprese!

Recuperare le password memorizzate su Internet Explorer con l’autocompletamento

Recuperare password autocompletamento internet explorer

Nucleus Kernel Internet Explorer Password recovery è un software dedicato al recupero delle password e dei relativi username dimenticati che sono stati salvati su Internet Explorer. Per essere chiari, Internet Explorer facilita l’utente durante l’autenticazione su alcuni siti, memorizzando la prima volta lo username e la password, in modo che le volte successive siano riproposte in automatico (autocompletamento)

Il software mostra istantaneamente tutti le coppie di nome utente e password memorizzate su Internet Explorer. Questo strumento si rivelerà utile ed essenziale in alcuni casi di emergenza. Parola di webmaster!

Recuperare una password svelando gli asterischi

Password nascosta dagli asterischiQuante volte vi è capitato di non ricordare più una password di accesso a qualche servizio web, come la posta, il proprio conto in banca oppure il proprio negozio online preferito. La beffa è che se si memorizzano le password su Firefox o su Internet Explorer, la password compare lì, davanti a voi, nascosta da una serie di asterischi che non vi permettono di recuperare la password e vederla in chiaro.

Ecco a voi un semplice ma geniale script Javascript che, incollato nella barra degli indirizzi del browser, vi mostrerà in una finestra di dialogo come quella che vedete nell’immagine, le password presenti nella pagina e nascoste da asterischi. Sembra una magia, ma il funzionamento è alquanto semplice almeno per chi, come me, usa spesso il javascript.

Ecco lo script (via Abdul Akbar):

javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + "\n"; } } if (s) alert("Passwords in forms on this page:\n\n" + s); else alert("There are no passwords in forms on this page.");})();

 

 

Password nascosta dagli asterischi su firefox

Revelation, vedere le password nascoste dagli asterischi

vedere le Password nascoste dagli asterischi Con SnadBoy’s Revelation è possibile scoprire quale password è celata sotto i campi di testo di tipo password, ovvero quelli con gli asterischi al posto dei caratteri.

L’applicazione in questione è molto semplice: dopo averla lanciata è possibile trascinare un obiettivo sopra il campo password desiderato. Magicamente, su Revelation verrà mostrata la password nascosta dagli asterischi e si potrà finalmente continuare il proprio lavoro.

Revelation 2.0 è un’applicazione freeware, gratuita e dalle dimensioni molto piccole, solo 14KB.

WebCracker, sfondare le protezioni di un sito web

webcracker WebCracker è un’applicazione che cerca di ottenere l’accesso a pagine web protette da autenticazione HTTP. Sicuramente vi sarà capitato tentare di aprire una pagina sul vostro browser, ma di non riuscire a entrarvi perchè protetta da username e password.

In questi casi è possibile appunto utilizzare WebCracker. Per utilizzare Webcracker è necessario possedere almeno una lista di userID. Se si possiede una lista di utenti sul proprio sistema, bisogna estrarre tutti gli identificativi e salvarli come un file di testo. Molti utenti, a cui è permesso di scegliere il proprio ID su un sistema, utilizzano il proprio nome come password; un possibile attacco, quindi, è provare con una lista di nomi.
WebCrackerE’ possibile caricare in Webcracker un elenco di password da testare. Il programma proverà l’intera lista di password per ogni user ID.
La lista di identificativi e di password viene creata in modalità combo dove ogni linea è costituita da un userID e una password separati da un tab o da uno spazio.
Un esempio di file in modalità combo incluso nel pacchetto Webcracker è combo.txt .

L’utilizzo di questo software su siti non propri è illegale. Consiglio l’uso di WebCracker solo per verificare la robustezza della propria applicazione web.