La notizia è comparsa sul magazine Forbes e riguarda una nuova invenzione di Moxie Marlinspike, noto hacker e ricercatore per la sicurezza. A suo tempo aveva già lanciato il servizio online WPACracker, capace di craccare la maggior parte delle password delle retiwi-fi in meno di un’ora. Ma ora Marlinspike ha superato se stesso, lanciandoCloudCracker, un servizio ancora più potente, veloce e versatile. Per la modica cifra di 17 dollari, il servizio è in grado di controllare la sicurezza delle reti wireless protette da WPA2-PSK, passando in rassegna dizionari con 600 milioni di parole nel giro di un’ora. Il software precedente ne esaminava ‘solo’ 260 milioni nello stesso arco di tempo.
Per le reti con password particolarmente ostiche, il tool può utilizzare dizionari fino a 4,8 miliardi di parole, sempre in un’ora, per il prezzo di 136 dollari. Inoltre, riesce anche a trovare le password protette da Microsoft‘s Windows LAN Manager e NT LAN Manager, a un prezzo di 50 centesimi di dollaro per ogni password.
Marlinspike dice che CloudCracker è stato progettato per i penetration tester, non per gli hacker malevoli, con l’obiettivo di permettere gli ingegneri della sicurezza di scovare e risolvere i difetti nelle reti dei loro clienti. Ovviamente, non potrà garantire di persona sull’uso che del software sarà fatto.
Alla luce di tutto ciò, come si può difendere il proprio network wi-fi? La password è l’unico ostacolo che si frappone tra l’hacker e il proprietario, perciò studiare una buona password è essenziale. Prima di tutto, bisognerebbe usare solo la cifratura WPA-PSK o WPA2-PSK, mai la WEP, unanimemente considerata troppo debole.
Una buona password si crea con dati veramente random, perché solo questi non sono vulnerabili in sede di ricerca di grandi elenchi pre-compilati, come i dizionari di cui parla l’articolo.
Alcune risorse online che affermano di generare password random sono Fourmilab e Random.
Per quanto riguarda la lunghezza ideale di una password, le opinioni divergono: secondo alcuni bastano 8 caratteri casuali, secondo altri ne servono almeno 20. Ma poiché è possibile settare il PC o il device in modo che memorizzi la password una volta per sempre, la lunghezza della stringa non dovrebbe mai essere considerata un ostacolo.
Nessun commento:
Posta un commento