Archivi tag: Password

Una password per distruggere l’hard disk

Recentemente Kali Linux ha aggiunto una caratteristica al tuo tool di codifica degli hard disk: una password per l’auto distruzione dei dati.

kali-1.0.5-release

Kali Linux è una avanzata e versatile distribuzione linux ideata per test di penetrazione. Kali è nato da BackTrack, ma è cresciuta ben oltre le sue umili origini come un CD live ed è ormai diventata un sistema operativo vero e proprio.

In un recente aggiornamento, il team di sviluppo “Offensive Security Developer Team” a capo del progetto Kali Linux, ha introdotto una nuova funzionalità di protezione denominata “auto-distruzione di emergenza di LUKS” alla loro utility  cryptsetup di cifratura completa del disco.

Se si dispone di una partizione LVM cifrata con LUKS sul Kali Linux, allora verrà richiesta una password all’avvio per consentire al sistema operativo di avviarsi e decrittografare l’unità disco. Adesso è stata anche aggiunta una opzione password “nuke” che, se immessa al posto della password di decrittazione, distruggerebbe tutti i dati contenuti nel disco rendendolo inutilizzabile al momento dell’avvio.

Quindi in qualsiasi situazione di emergenza, inserendo la password nuke, si potrebbe potreggere in modo definitivo i dati in esso contenuto.

Proteggere le password

I software di memorizzazione delle password lasciano il loro database criptato sul dispositivi su cui è utilizzato. L’ultima tendenza di questo tipo di software, condizionati dalla moda del “cloud”, è la trasmissione del prezioso database di password in repository più sicuri della propria macchina, permettendo di trasferire gli account sui vari dispositivi di proprietà.

I programmi di protezione della password più utilizzati sono questi:

1Password

Il più utilizzato dagli utenti Mac

Con 1Password dovrai semplicemente memorizzare una “master” password attraverso la quale avrai accesso a tutto il database di password e username. E’ quindi doveroso impostare una master password molto sicura. Il software può importare password già salvate sul browser e può rigenerarle in modo che siano difficilmente hackerabili. Unico tra i software elencati sotto, 1Password permette di salvare le password in file criptati sul disco. Inoltre è possibile utilizzare DropBox come mezzo di scambio di database per utilizzare 1Password anche su dispositivi mobili. 1Password funziona su Mac, iPhones e iPads, ed è compatibile con Safari, Firefox e Chrome. Non c’è la compatibilità con Blackberry

  • $50 per Mac o Windows,
  • $15 per iPhone/iPad;
  • gratis per il beta testing di Android

LastPass

Il più usato dagli utenti PC/Windows

Come 1Password, LastPass usa una master password ed ha uno strumento per generare password “sicure”. Il software inoltre permette di creare identià multiple con accesso a gruppi di password. Funziona a meraviglia con Explorer, Safari, Chrome e Firefox; è compatibile con  Windows e Mac; è inoltre l’unico a funzionare su  Linux e Blackberry. Unlike

  • Gratis per computer e iPad
  • $12 per anno per smartphone

Norton Identity Safe

Il più usato da utenti mobili che usano Internet Explorer

Symantec, la grande azienda di software per la sicurezza ha rilasciato Norton Identity Safe, un software gratuito per la memorizzazione e la sincronizzazione delle password tra più dispositivi. Il software funziona su PC, Mac/iPhone/iPad e dispositivi Android (ma non sul Blackberry), ed è compatibile con  Explorer, Chrome, Firefox e Safari. Il servizio non dispone delle funzionalità “extra”di LastPass e 1Password, come il generatore di password e la memorizzazione di info che non siano password. Norton Identity Safe è la miglior scelta per chi usa Internet Explorer.

Le password più usate…

E’ “123456” la password più usata. Questo risultato proviene da un’analisi condotta su un database di 32 milioni di password. Le conclusioni di questa ricerca? password corte, la mancanza di lettere maiuscole e cifre numeriche e l’uso di parole comuni rende il proprio account assolutamente insicuro e accessibile nel giro di un minuto attraverso l’uso di strumenti a forza bruta.

Altre considerazioni che sono state tratte sono:

  • In soli 110 tentativi, solitamente un hacker guadagna gli accessi a un nuovo account e impiega circa 17 minuti per entrare in 1000 account
  • Circa il 30% degli utenti usa password corte solo 6 caratteri (o meno)
  • Almeno il 60% degli utenti usa password con poca varità di caratteri
  • Circa il 50% degli utenti usa nomi propri, parole comuni o password banali (cifre consecutive, lettere adiacenti sullla tastiera, ecc…).

Il premio quindi a password più usata è “123456“. L’elenco delle altre password banali è il seguente:

Quanto è sicura una password?

Spesso per fretta o per pigrizia scegliamo password semplici e facili da ricordare. Il vantaggio è che le ricorderemo per un lungo tempo, ma avremo lo svantaggio di utilizzare password insicure.

password sicure

Microsoft ci aiuta a sconfiggere questo problema, pubblicando uno strumento online per verificare la robustezza della nostra password. Abbiamo 4 stati indicati da una progress bar: debole, media, sicura e migliore. In conclusione, poteto utilizzare o no questo Password Checker, ma vi consiglio di utilizzare sempre e comunque password robuste per non incorrere in spiacevoli sorprese!

Revelation, vedere le password nascoste dagli asterischi

vedere le Password nascoste dagli asterischi Con SnadBoy’s Revelation è possibile scoprire quale password è celata sotto i campi di testo di tipo password, ovvero quelli con gli asterischi al posto dei caratteri.

L’applicazione in questione è molto semplice: dopo averla lanciata è possibile trascinare un obiettivo sopra il campo password desiderato. Magicamente, su Revelation verrà mostrata la password nascosta dagli asterischi e si potrà finalmente continuare il proprio lavoro.

Revelation 2.0 è un’applicazione freeware, gratuita e dalle dimensioni molto piccole, solo 14KB.

WebCracker, sfondare le protezioni di un sito web

webcracker WebCracker è un’applicazione che cerca di ottenere l’accesso a pagine web protette da autenticazione HTTP. Sicuramente vi sarà capitato tentare di aprire una pagina sul vostro browser, ma di non riuscire a entrarvi perchè protetta da username e password.

In questi casi è possibile appunto utilizzare WebCracker. Per utilizzare Webcracker è necessario possedere almeno una lista di userID. Se si possiede una lista di utenti sul proprio sistema, bisogna estrarre tutti gli identificativi e salvarli come un file di testo. Molti utenti, a cui è permesso di scegliere il proprio ID su un sistema, utilizzano il proprio nome come password; un possibile attacco, quindi, è provare con una lista di nomi.
WebCrackerE’ possibile caricare in Webcracker un elenco di password da testare. Il programma proverà l’intera lista di password per ogni user ID.
La lista di identificativi e di password viene creata in modalità combo dove ogni linea è costituita da un userID e una password separati da un tab o da uno spazio.
Un esempio di file in modalità combo incluso nel pacchetto Webcracker è combo.txt .

L’utilizzo di questo software su siti non propri è illegale. Consiglio l’uso di WebCracker solo per verificare la robustezza della propria applicazione web.

Tecniche per il recupero della password email con ElzaPop

Password EmailUno dei software più usati quando si deve recuperare una password dimenticata di una casella email è ELZAPOP. Per configurare questo applicativo è necessario aprire i due file che ha a corredo: user.txt e pass.txt che inizialmente sono entrambi vuoti. Nel primo, user.txt, vanno messi gli username da utilizzare, mentre in pass.txt vanno messe le possibili password. Il programma è scaricabile utilizzando un qualsiasi software P2P.

Fatto questo, ELZAPOP è pronto per essere lanciato. Su un prompt dei comandi DOS digitate:

elzapop mail.libero.it

dove mail.libero.it è il pop server da utilizzare per verificare gli username presenti in user.txt. L’applicazione proverà tutte le password inserite in pass.txt. Il segreto sta nell’identificare il maggior numero di password possibili. 

Se avete poca fantasia e cercate allora un generatore di password, dovete provare txt2diz, WeirdWord e passlist. I primi due prendono un vostro documento e generano un file testuale con tutte password ricavate rimescolando le parole presenti nel file iniziale. Passlist crea invece una miriade di password, fornendo come input solamente l’inizio della parola chiave e il set di caratteri possibili.

Entrare in una rete wireless: con Cain e AirPcap per ottenere una password WPA/WPA2

aircapEcco un ottimo video tutorial che mostra come craccare una rete wireless, cioè quella parte dello standard che specifica il protocollo utilizzato per rendere sicure le trasmissioni radio delle reti Wi-Fi. In particolare, verrà mostrato come ottenere la WPA/WPA2 PSK pass phrases. Quando si ha in mano una password di questo tipo è possibile entrare in una rete WiFi wireless.

Il sistema che vado a segnalare utilizza questi strumenti: AirPCap, Wireshark e CAIN.