Schede video per svelare le password?

Schede video per svelare le password?

Brevettata una tecnica che utilizza le schede video per accelerare i tempi necessari alla scoperta delle password

di Roberto Colombo pubblicata il , alle 12:30 nel canale Sicurezza
 

Quello del 'cracking' delle password è un mercato fiorente che non conosce sosta ed è terreno di eterna sfida tra gli sviluppatori di algoritmi di protezione e quelli che cercano di superarli.

New Scientist Tech riporta di una nuova arma a disposizione di questi ultimi, le schede video. A quanto pare Elcomsoft, un'azienda cona base a Mosca, in Russia, ha presentato un brevetto per una tecnica che permette di utlizzare le potenzialità degli acceleratori grafici per diminuire il tempo necessario a scoprire le password.

Quelle più difficili da scoprire (tra cui la fonte mette quelle utilizzate per il log-on di Vista) a volte richiedono mesi di calcoli, ma la nuova tecnica potrebbe cambiare le cose, e di molto. L'ausilio di una scheda video nVidia GeForce 8800 Ultra ha infatti portato a un beneficio evidente, riducendo di ben 25 volte il tempo necessario per scoprire una password, passato dall'ordine di grandezza dei mesi a quello dei giorni.

Per capire il principio di funzionamento riportiamo la stessa citazione riportata dalla fonte: "A [normal computer processor] would read the book, starting at page 1 and finishing at page 500, a GPU would take the book, tear it into a 100,000 pieces, and read all of those pieces at the same time".

La notizia potrebbe generare forte allarme ma bisogna tenere presente che servizi importanti, ad esmpio banche e commercio online, utilizzano più di una password e i dati privati sempre più spesso oltre alla password di accesso al sistema vedono sistemi di crittografia a baluardo di protezione.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

120 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
int main ()25 Ottobre 2007, 12:37 #1
ma io non ho capito bene una cosa..... questi brevettano un modo per craccare i pc della gente e nessuno gli dice o fà niente? diemi che ho capito male plz
JOHNNYMETA25 Ottobre 2007, 12:38 #2
Pauroso quindi tra un po' avere password a 10 o 20 numeri sarà come avere password monocifra, cioè come non averla
Ntropy25 Ottobre 2007, 12:49 #3
Originariamente inviato da: int main ()
ma io non ho capito bene una cosa..... questi brevettano un modo per craccare i pc della gente e nessuno gli dice o fà niente? diemi che ho capito male plz


Non crackano pc ma algoritmi di crittografia, vengono studiati per scoprirne i punti deboli e le possibile falle, in questo modo li rendono migliori non credi?
DevilsAdvocate25 Ottobre 2007, 12:50 #4
Bah, un buon sistema non teme attacchi brute force: ad esempio al quarto o quinto
tentativo andato male introduce un ritardo di 1 secondo che raddoppia per
ogni ulteriore tentativo fallito fatto nella stessa giornata.
(dopo 14 tentativi servono 20 minuti, più di una 20ina di tentivi
"a caso" al giorno non si posson fare).

Se le banche non sono manco arrivate a questo allora farebbero bene
ad assumere dei veri esperti e non dei raccomandati.
ilsensine25 Ottobre 2007, 12:52 #5
Oh mamma, ci mancava il brevetto sul coprocessore!
DevilsAdvocate25 Ottobre 2007, 12:53 #6
Originariamente inviato da: JOHNNYMETA
Pauroso quindi tra un po' avere password a 10 o 20 numeri sarà come avere password monocifra, cioè come non averla

Fuffa, questo vale solo per i sistemi progettati male.
Per quelli fatti bene bastano i tipici 6 caratteri alfanumerici
(per esempio quelli che chiede UNIX).
Tasslehoff25 Ottobre 2007, 12:54 #7
Originariamente inviato da: int main ()
ma io non ho capito bene una cosa..... questi brevettano un modo per craccare i pc della gente e nessuno gli dice o fà niente? diemi che ho capito male plz
Questi non hanno brevettato un modo per craccare i pc della gente, quello che fanno è già possibile ora, semplicemente con questo sistema si sfrutta meglio la capacità di elaborazione del pc e si velocizza l'operazione...

Poi tu vedi la cosa solo da un punto di vista, a me ad es è capitato più volte di risparmiare parecchio tempo facendo il bruteforce di una password (nel caso specifico la password di un id di Lotus Notes) con un software apposito che non creare da zero un nuovo utente e settare tutti gli accessi necessari.

Le tematiche di sicurezza non possono essere ridotte a una semplice password, qui sta il problema
Bisont25 Ottobre 2007, 12:56 #8
si ma ad esempio con XP si frega un filettino che non mi ricordo (letto sui libri di Mitnick) e poi si fa l'attacco bruteforce su quello, tranquillamente a casa nel tuo pc.... poi una volta scoperta la password vai sul sistema con la password sicura...il sistema che dici te funziona solo se agisci direttamente dal mezzo di immissione password predefinito... ma se attacco direttmente i files dove sono contenute le password...
ilsensine25 Ottobre 2007, 12:57 #9
Originariamente inviato da: Tasslehoff
Questi non hanno brevettato un modo per craccare i pc della gente, quello che fanno è già possibile ora, semplicemente con questo sistema si sfrutta meglio la capacità di elaborazione del pc e si velocizza l'operazione...

Ecco appunto, quello che hanno sempre fatto i coprocessori.

Complimenti al femtocefalo di turno dell'ufficio brevetti, non era facile accettare una cosa simile. Neanche negli USA.
darkbasic25 Ottobre 2007, 13:03 #10
L'utilizzo di un coprocessore (perché di questo si tratta) _non_ dovrebbe essere brevettabile, anche se la cosa non mi stupisce (ormai si brevettano pure i protocolli...)
Per chi crea allarmismi: sono richieste decine di anni per portare a termine un attacco esaustivo su una chiave aes 256 bit, utilizzando una gpu il tempo scenderebbe a qualche anno. Direi che si può stare abbastanza tranquilli, non trovate? Non tutti gli algoritmi sono deboli come quelli che utilizza la MS in windows...

Edit: nel frattempo che postavo avete scritto una pagina intera mi sembrava strano che ilsensine non avesse ancora postato...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^