Una peculiare competizione tra hacker e smanettoni del codice organizzata da Ars Technica evidenzia la facilità con cui è possibile crackare le password usate dagli utenti – anche quelle apparentemente dotate di una certa complessità e composte da almeno 16 caratteri.
Il contest ha visto la partecipazione di tre diversi cracker, a cui il reporter di <em<Ars ha fornito più di 16mila password in forma di hash crittografico calcolato – a partire dalle password di cui sopra – con algoritmo MD5.
Dopo un’ora dall’inizio del contest, Jens Steube – noto per essere lo sviluppatore di oclHashcat-plus – è riuscito a battere l’82 per cento delle password (13.486) usando un singolo computer e un paio di GPU. Il risultato peggiore è stato quelli di tale radix, che ha crackato “appena” il 62 per cento delle password di cui era stato fornito l’hash.
La conclusione dell’esperimento è chiara: l’utilizzo di password costituite da nomi o parole comuni nell’epoca delle multi-GPU e degli algoritmi super-ottimizzati è pura follia, e persino password come “qeadzcwrsfxv1331” (in teoria piuttosto sicura) hanno ben poca speranza contro hacker e personale specializzato. O contro qualcuno che è disposto a pagare per il crack.
Alfonso Maruccia
Ti potrebbe interessare
31 mag 2013