09 Maggio 2016
L'attacco brute-force è ormai l'ultima spiagga quando si cerca di sottrarre le credenziali di accesso di qualcuno; anche se le password più comuni rimangono 12345 e password, è ormai di pubblico dominio che una stringa ragionevolmente lunga e con simboli o caratteri speciali riesce a tenere distanti molto più a lungo gli eventuali malintenzionati.
Ma così, per il gusto della curiosità: non vi piacerebbe sapere più o meno quanto tempo potrebbe volerci per scovare la combinazione della vostra password? BetterBuys ha messo insieme un tool decisamente semplice che permette di scoprirlo con una certa semplicità. Basta digitare la vostra password (o una ragionevolmente simile, non andiamo a cercarci grane dove non ci sono) e il risultato vi apparirà a schermo in pochi secondi.
Il tool è piuttosto simpatico perché tiene in considerazione anche il fattore tempo: è infatti possibile scegliere processori di anni passati e vedere come cambiano i risultati (c'è anche un'approssimativa previsione di come evolveranno le cose da qui al 2020).
Non è niente di particolarmente avanzato, o accurato al secondo - non tiene conto dei tentativi brute force distribuiti su più IP, né degli eventuali throttling attivati dai provider, e un sacco di altre cose - ma può essere un buon sistema per imparare che cos'è una password sicura e che cosa non lo è. Sempre tenendo ben presente che una volta trovata una password sicura bisogna anche imparare a conservarla.
Commenti
O magari vince chi si ritiene più furbo e non scrive la sua password su internet... le probabilità sono esattamente le stesse ;)
Va bene stare attenti, ma scrivere qualche carattere a caso su un sito a caso non farà mai male a nessuno... cautela sì, ipocondria no :)
Beh sai, la possibilità di vincere alla lotteria sono molto basse, ma ogni anno qualcuno vince, guarda un po'...
E magari vince uno di quelli che scriveva "Allora posso stare tranquillo, dubito potranno mai effettuare un bruteforce in locale sul mio portatile"
E intanto si fanno un bel database di psw...
Allora posso stare tranquillo, dubito potranno mai effettuare un bruteforce in locale sul mio portatile e in ogni caso la password dell'account Windows non l'ho inserita, quindi non gli gioverebbe ;)
la mia inizia con il tasto invio e prosegue con 108 caratteri
scrivetemi la vostra password Paypal, vi dirò se è sicura
Le aggiungono tutte ad un dizionario.
Un dizionario di centinaia di milioni di voci può essere usato in un battito di ciglia una volta caricato in RAM nel modo giusto.
Certo, non le usano su un servizio remoto che ha numero di tentativi bloccati e lag fra input ed output, ma funziona bene in locale e nel caso in cui entri in possesso di un DB con gli hash della password (non salted)
Vedrai che la digito la mia password... Stronz@t@.
Mah, come potrebbero utilizzare la password senza sapere dove usarla e quale delle dodici che ho usato è quella reale, sempre che io ne abbia usata una reale? Inoltre il calcolo viene fatto in tempo reale, non è che scrivi "password" e poi premi invio. Se scrivi "password" la tua password potrebbe essere "pass", poi magari ci hai aggiunto "word" per vedere cosa sarebbe cambiato. Oppure la password è "passw" e ci hai aggiunto "ord". Oppure è "pasword" e ci hai aggiunto una s al centro......
Naaah :)
Semplicemente fa il peggior brute force possibile che è l'ultima spiaggia dopo aver provato quelli più mirati
Eh beh non diranno mica "installa nod32!"
chetooldelcazzo
4685 millenni
Ma su feissbuk c'era un'immagine di Gesoo che diceva che se gli vogliamo bene dovevamo scrivergli la nostra password! Io ci voglio bene a Gesoo!
1
MILLENNIA
1
CENTURIES
3
DECADES
8
YEARS
3
MONTHS
1
WEEKS
3
DAYS
1
HOURS
43
MINUTES
59
SECONDS
85
JIFFIES
4
MILLISECONDS
Scrivendo "Password"
Bhe diciamo che dobbiamo impegnarci un pò di piu sulla trasformata di Fourier...
Folle anche solo l'idea di testare una password simile alla vostra....
Domandatevi se l'idea e lo sbattimento di fare un operazione del genere è tesa al bene comune... o al bene di chi la mette in pratica....poi agite a vs. rischio e pericolo.
Non ci vuole un genio per creare una password ragionevolmente difficile.
"supercalifragilistichespiralidoso" ci mette un tempo infinito, buono a sapersi XD
Comunque è da pazzi mettere la propria password in certi siti, al massimo si può provare qualcosa di simile se proprio si è curiosi
Quindi un attacco bruteforce con processore del 2016 impiegherebbe più di tre secoli per indovinare "1234567890a"? E poi i provider internet ca*ano il ca**o quando devi scegliere una nuova password perché "è troppo semplice".........
Secondo me sono calcoli sballatissimi, onestamente
Ma oggi giorno non si possono usare tool che sfruttano la GPU per fare questo tipo di operazioni?
Mi sembra che stavano iniziando a svilupparli anni fa con ottimi risultati
tool sicuramente interessante! tuttavia, le tempistiche potrebbero essere sballate, e non di poco, se si considera che tanta gente utilizza come pass date di nascita, nomi di figli animali o cose del genere..
io ho fatto una prova banale..ho messo una data di nascita e, in base ai numeri, mi ha detto che ci vorrebbero anni per decifrarla, quando invece, x esempio, potrebbe essere la prima cosa che uno va a provare...
ma cmq..è stato divertente :D
alcuni, sicuramente si...
altri dicono di averne usata una simile dopo essersi accorti di aver fatto una ca..ata...
la maggior parte mette la propria password.
In ogni caso, dovresti esserti accorto dell''intelligenza media nel periodo di "inviti per inbox"; in cui tutti scrivevano il proprio indirizzo mail in chiaro nei commenti...
ci eravamo divertiti a mandare mail a tutti...
Allo stato attuale per le mie pass chiede infiniti tentativi...non male
Pensavo che l'intelligenza media di chi frequenta questi blog, arrivasse a capire di metterne una somigliante.
No quella password la uso per i forum, la mail ed altre cose a cui tengo sono combinazioni di lettere maiuscole e minuscole con numeri
Sono dei geni..si fanno un database geolocalizzato. Ma sul serio testate le vostre password? Esiste anche il sito per testare le carte di credito..ahah
In realtà tramite quel tool si creerà un db che servirà proprio per attacchi brute force...:P
Quoto
Per i software che esistono al momento, decisamente più di quanto ci mette sta roba. Al momento siamo molto lontani dallo sfruttare quella roba decentemente. C'è da riscrivere l'informatica in pratica
Quoto
Quoto
si
click
La mia è composta da numeri e lettere, l'ho inserita cambiandoli, ovviamente....
260.000 millenni e "spiccioli"... non male come pwd della mail. Se aggiungo 1 maiuscola siamo ad "infinito"
Ho pensato esattamente la stessa cosa appeno ho letto il titolo dell'articolo :D
metti anche l'email per comodità :)
eh?? un attacco brute force su ip diversi e la tua password crolla in meno di 1 ora....certo che se è la password dell'email o di skygo, nn muore nessuno :)
il carattere speciale cambia il mondo. provate ad esempio una sequenza di numeri qualsiasi(nn importa quanto, ci dirà sempre mezzo secondo o circa) e poi aggiungete un solo carattere speciale. per esempio la differenza tra 0123456789 e 0123456789'
vedo già gente che prova TUTTE le sue password reali.....che ridere, devo mettere un tool simile su un mio sito :D
Si che poi oltre a quello dopo un ragionevole tentativo di login fallito un qualsiasi servizio dovrebbe metterti in una bella blacklist...
145 millenni per una password che ho fatto circa a 6 anni e ha superato i 20. Non male.
È comunque per quelle online ci sarebbe un limite intrinseco nel Ping e qualche altra latenza oltre un tot al secondo non potrebbero essere richieste. Per curiosità qualcuno provasse a fare un calcolo.
Ma c'è gente che mette la propria psw sul serio?
Ma se usassi la cpu quantistica che IBM ha messo a disposizione come risorsa cloud quanto tempo ci vorrebbe per violare qualsiasi sistema crittografico del pianeta "banche incluse"? Questa è la domanda!
Direi che hanno trovato un ottimo metodo per creare un mega database di password e casomai studiarsele pure
Poi arrivarono i computer quantistici e ciao password classiche da Millenni a millisecondi XD
Io ho provato una password creata e codificata con lo stesso algoritmo che uso allo scopo
2 millenni 3 secoli e qualche decennio... Direi che l'algoritmo mnemonico che uso per creare e ricordare le password funziona :)
Per ogni anno se vedi c'è il processore utilizzato. Per il 2015 usato l'i5 6600k. Sarebbe interessante vedere quanto cambia con un 10 core +ht
Simpatico. La spiegazione può essere utile ai non tecnici. chissà se chi lo legge si rende conto che le password tipo 12345 sono deleterie.