Le moderne GPU mettono a disposizione un'enorme potenza di calcolo che, se opportunamente impiegata, può rapidamente scardinare il primo livello di sicurezza di un sistema: la password
di Gabriele Burgazzi pubblicato il 03 Marzo 2009 nel canale Sicurezza
DJI OSMO Mobile SE a 69€: il gimbal compatto che trasforma i video dello smartphone in riprese da pro
Scope elettriche da record su Amazon: due modelli potentissimi sotto i 120€, ecco perché piacciono così tanto
GTA 6 a 80 euro? Take-Two frena sul prezzo e punta tutto sul valore percepito
I 3 portatili più convenienti su Amazon: sono 2 tuttofare Lenovo e un HP Victus gaming con RTX 5060
AirPods Pro 2 a soli 199€: su Amazon anche AirPods 4 in sconto, ecco le differenze che contano
2 Smart TV 4K Hisense con doppio sconto su Amazon: sono OLED e QLED, 55" e 75", fateci un bel pensierino
Portatili Apple ai minimi: MacBook Pro con chip M4 a 1.648€ e Macbook Air 13 16GB7256GB, sempre M4, a 998€
Come mantenere Windows 10 sicuro dopo il 2025: tutto sul programma ESU
Finalmente è tornato su Amazon l'iPhone 16 128GB a 749€, in tutti i colori, ma ci sono anche i 16e e 16 Pro in offerta
Auto nuove? Per il 65% degli italiani sono troppo care, non dovrebbero costare oltre i 20.000 euro
Droni solari Airbus volano nella stratosfera grazie alle nuove batterie al silicio: test riusciti a oltre 20 km di quota
Colpo da 15 milioni di dollari: chi ha rubato un carico di prodotti AMD e Apple?
Elon Musk lancia l'allarme su GPT-5: 'OpenAI divorerà Microsoft'. Ma Nadella lo sfida con un sorriso
iPhone 17 Pro sarà più costoso, ma anche più conveniente
Ryzen Threadripper 9980X e 9970X alla prova: AMD Zen 5 al massimo livello
AMD ha aggiornato l'offerta di CPU HEDT con i Ryzen Threadripper 9000 basati su architettura Zen 5. In questo articolo vediamo come si comportano i modelli con 64...
BOOX Note Air4 C è uno spettacolo: il tablet E Ink con Android per lettura e scrittura
BOOX Note Air4 C rappresenta l'ultima incarnazione della categoria dei tablet E Ink a colori di Onyx, e combina le prestazioni di un dispositivo Android con l'ottima...
The Edge of Fate è Destiny 2.5. E questo è un problema
Bungie riesce a costruire una delle campagne più coinvolgenti della serie e introduce cambiamenti profondi al sistema di gioco, tra nuove stat e tier dell’equipaggiamento....
Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano
Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...
Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia
MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...
HPE Discover 2025: tra agenti intelligenti, infrastruttura AI-native e un futuro ibrido
Edge9 ha seguito da vicino HPE Discover 2025 con accesso esclusivo a keynote e interviste. Dalla Sphere di Las Vegas, la visione di un’infrastruttura AI-native e...
Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada
Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...
Roborock Saros Z70: un braccio meccanico per fare ordine in casa
Dotato di tutte le ultime innovazioni in tema di aspirazione della polvere e pulizia dei pavimenti di casa, Roborock Saros Z70 integra un braccio meccanico che promette...
Membro della European Hardware Association
BOOX Note Air4 C è uno spettacolo: il tablet E Ink con Android per lettura e scrittura
Recensione Sony Xperia 1 VII: lo smartphone per gli appassionati di fotografia
Attenti a Poco F7: può essere il best buy del 2025. Recensione
86 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoMagari....
In realtà la legge di Moore si riferisce al numero di transistor e nulla ha a che fare con le prestazioni...
Per stoccare una password, si prende una password inserita dall'utente, si calcola l'hash e lo si salva da qualche parte.
Anche se si conosce l'hash, ottenere la password è difficile perchè la funzione non è invertibile, allora entra in gioco il bruteforce:
Nei panni di un attaccante, se conosco l'hash, allora provo a calcolare l'hash di tutte le password che l'utente può aver digitato in modo esaustivo e vedo se l'hash corrisponde. Se corrisponde, ho trovato la password.
Le GPU sono in grado di calcolare l'hash in modo molto veloce ed è per questo che è preoccupante.
Aldilà della lunghezza dell'hash (che è importante solo se si vuole ottenere la password dalla chiave sfruttando una falla nell'algoritmo), è importante immettere password lunghe con caratteri speciali e non solo alfanumerici perchè se un attaccante si mette a fare bruteforcing, impiegherà davvero milioni di anni per scovarla.
Non ero aggiornato
[I]Il 1º marzo 2005 Arjen Lenstra, Xiaoyun Wang e Benne de Weger dimostrarono [2] la costruzione di due certificati X.509 con differenti chiavi pubbliche e lo stesso MD5 hash, di fatto una collisione. La costruzione funzionava sia per le chiavi private che per quelle pubbliche. Dopo pochi giorni Vlastimil Klima descrisse [3] un algoritmo migliorato, capace di costruire collisioni MD5 in poche ore su un singolo computer. Il 18 marzo 2006, Klima pubblicò un algoritmo [4] che riusciva a trovare una collisione in un minuto su un singolo computer, usando un metodo che chiamò "calls tunneling".[/I]
Per stoccare una password, si prende una password inserita dall'utente, si calcola l'hash e lo si salva da qualche parte.
Anche se si conosce l'hash, ottenere la password è difficile perchè la funzione non è invertibile, allora entra in gioco il bruteforce:
Nei panni di un attaccante, se conosco l'hash, allora provo a calcolare l'hash di tutte le password che l'utente può aver digitato in modo esaustivo e vedo se l'hash corrisponde. Se corrisponde, ho trovato la password.
Le GPU sono in grado di calcolare l'hash in modo molto veloce ed è per questo che è preoccupante.
Aldilà della lunghezza dell'hash (che è importante solo se si vuole ottenere la password dalla chiave sfruttando una falla nell'algoritmo), è importante immettere password lunghe con caratteri speciali e non solo alfanumerici perchè se un attaccante si mette a fare bruteforcing, impiegherà davvero milioni di anni per scovarla.
guarda che l'uso dei caratteri speciali non ha influenza su un attacco bruteforce, serve per evitare un attacco dizionario.
e cmq la potenza delle gpu è troppo limitata per decodificare in bruteforce una cifratura con le belotas come ad esempio una aes da 512-1024bit non bastano neanche i cluster per quelle
Poi, l'articolo parte in pompa magna, però poi manca la sostanza... la pagina che in sostanza dice "usate una password complessa se no ve la sgamano subito" insomma...
Il problema (grosso) secondo me si avrà quando saranno crakkabili in poco tempo filesystem e database crittati....
x la redazione...
che ne dite di fare un articolo sulla sicurezza, eventualmente anche con richiami alla legislazione, e fate vedere alla gente la differenza tra crakkare una password "parolad'ordine" oppure una md5(md5("n0Nr|u$c|r4|m4|4r|c0n0$c3rl4"
e cmq la potenza delle gpu è troppo limitata per decodificare in bruteforce una cifratura con le belotas come ad esempio una aes da 512-1024bit non bastano neanche i cluster per quelle
Oddio, per un brutforce limitare il numero caratteri da provare da 100 a poco più di 60 (maiuscole, minuscole e numeri) o addirittura a 36 (minuscole e numeri) accorcia notevolmente i tempi di elaborazione.
quello si ma di solito visto che il bruteforce è l'ultima spiaggia si provano cmq tutte le possibili combinazioni caratteri speciali inclusi XD poi va a fortuna, puoi impiegarci un milione di anni così come un minuto a craccare una password
password: 7.9s
p4ssw0rd: 1'17.2s
p4ss-w0rd!: ha finito senza trovarla
e cmq la potenza delle gpu è troppo limitata per decodificare in bruteforce una cifratura con le belotas come ad esempio una aes da 512-1024bit non bastano neanche i cluster per quelle
L'uso di caratteri speciali, come ha spiegato anche l'articolo, amplia il charset e quindi aumenta il numero di possibili password derivabili.
Dal momento che l'attacco bruteforce calcola l'hash per ogni password, aumentare il numero di possibili password aumenta anche il tempo di calcolo.
Se uso una password di 8 caratteri con maiuscole, minuscole, cifre e caratteri speciali allora l'attaccante dovrà scandagliare fra 62^8 possibili password. Se tolgo le maiuscole e le cifre l'attaccante avrà la vita facilitata perchè il numero di possibili password scende a 21^8
Non ho capito tu cosa intendi per decodificare in bruteforce, perchè il bruteforce è appunto l'approccio più semplice ma più costoso, cioè appunto controllare tutte le password possibili in modo esaustivo.
L'approccio di cui si parla sopra per la rottura di md5 è invece un approccio molto più raffinato. Ho una password criptata con md5 di cui conosco l'hash (di solito è facilmente ottenibile dalle basi di dati), mi trovo una collisione che produce lo stesso hash in un minuto e così ho una password diversa, ma che vale uguale perchè produce lo stesso hash. Ed ecco fatto che md5 non serve più a niente.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".