Per dimostrare quanto sia importante scegliere la password giusta
Vi propongo alcuni rapidi calcoli
Le lettere sono 26 e le cifre sono 10 cioè 36 simboli
Le combinazioni possibili (ovvero le 'disposizioni con ripetizione') sono quindi 36 elevato alla potenza di n , dove n è la lunghezza della password.
Scegliamo la nostra password in maniera completamente casuale per garantire che non possa essere indovinata
facciamo dunque una tabellina
Lunghezza | Numero di passwords generabili |
1 |
36 |
2 | 1'296 |
3 | 44'656 |
4 | 1'679'616 |
5 | 60'466'176 |
6 | 2'176'782'336 |
7 | 78'364'164'096 |
8 | 2'821'109'907'456 |
Ora valutiamo che ipoteticamente un computer abbastanza potente possa effettuare 1 milione di tentativi di rottura della password al secondo e che debba tentare almeno il 60% delle password in media per avere una probabilità di riuscire, ipotizzando inoltre che sia nota la lunghezza della password altrimenti vanno sommati tutti i valori per le lunghezze precedenti.
Lunghezza | Numero di passwords generabili | Tempo di elaborazione |
1 |
36 |
0 secondi |
2 | 1'296 | 0 secondi |
3 | 44'656 | 0 secondi |
4 | 1'679'616 | 1 secondo |
5 | 60'466'176 | 36 secondi |
6 | 2'176'782'336 | 22 minuti |
7 | 78'364'164'096 | 13 ore |
8 |
2'821'109'907'456 | 20 giorni |
Come vediamo venti giorni non sono un granchè in fondo.
Aggiungendo le maiuscole diventano 26 + 26 +10 cioè 62
dunque la tabellina si trasforma
Lunghezza | Numero di passwords generabili | Tempo di elaborazione |
1 |
62 |
0 secondi |
2 | 3'844 | 0 secondi |
3 | 238'328 | 0 secondi |
4 | 14'776'336 | 9 secondi |
5 | 916'132'832 | 9 minuti |
6 | 56'800'235'584 | 10 ore |
7 | 3'521'614'606'208 | 25 giorni |
8 | 218'340'105'584'896 | 4 anni |
Adesso si ragiona 4 anni per avere il 60% di probabilità di trovare la password da una certa tranquillità.
Il problema è che con il wifi un male intenzionato potrebbe intercettare i pacchetti di dati criptati trasmessi nell'etere e memorizzarli e tentare di indovinare la password in separata sede.
Questo gli permetterebbe di usare più computer e suddividere i tentativi tra loro in modo simultaneo
Mettiamo inoltre che riuscisse a sfruttare al massimo la CPU che elabora mediamente a 1Ghz per mediamente 4 Core sarebbero 4Ghz e rifacciamo i conti. Quindi 4 miliardi di password al secondo per 3 computer fanno 12 Miliardi di password al secondo
e la tabellina si ritrasforma
Lunghezza | Numero di passwords generabili | Tempo di elaborazione |
1 |
62 |
0 secondi |
2 | 3'844 | 0 secondi |
3 | 238'328 | 0 secondi |
4 | 14'776'336 | 0 secondi |
5 | 916'132'832 | 0 minuti |
6 | 56'800'235'584 | 3 secondi |
7 | 3'521'614'606'208 | 3 minuti |
8 | 218'340'105'584'896 | 3 ore |
la nostra password di 8 caratteri ha il 60% di probabilità di essere trovata in sole 3 ore con una attrezzatura che potrebbe costare circa 6.000 euro
Cosa fare dunque per mettere al sicuro la propria connessione?
anche aggiungendo una decina di carattere speciali come ( _-+.,:?=!) non quadagneremo che una decina di ore e quindi la nostra password verrebbe trovata in meno di un giorno.
Allunghiamo la password invece di 2 caratteri ( il calcolo supera la capacità di calcolo della calcolatrice che ha circa 12 cifre significative e quindi le ultime cifre sono 0
Lunghezza | Numero di passwords generabili | Tempo di elaborazione |
9 |
13'537'086'546'263'600 |
8 giorni |
10 | 839'299'365'868'340'000 | 1,5 anni |
Ok con 10 caratteri ci vuole più di un anno per trovare una password con lettere maiuscole minuscole e numeri.
Ora la domanda è: quanto può essere lunga la password ?
per i routee Wifi la risposta è: da 8 a 63 caratteri con la tecnologia WPA o WPA2. Con la tecnologia WEP (SCONSIGLIATA) ha lunghezze fisse di 10 (64 bit) o 26 (128bit) caratteri.
Per tutti gli altri servizi solitamente è richiesta una password di almeno 8 caratteri ma non c'è un vero limite massimo per la lunghezza della password
Quindi ipotiziamo di scegliere una password casuale di numeri lettere minuscole e maiuscole che non abbia senso compiuto e lunga fino a 26 caratteri.
Quanto tempo occorre mediamente per trovarla?
Lunghezza | Numero di passwords generabili | Tempo di elaborazione |
10 | 839'299'365'868'340'000 | 1,5 anni |
11 | 52'036'560'683'837'100'000 | 83 anni |
26 | 40'011'416'521'957'800'000 miliardi di miliardi di miliardi( cioè altri 27 zeri) | 63400 milioni di miliardi di miliardi di anni |
ok 26 carattteri sono veramente difficili da trovare e 11 caratteri sono già una vita.
Quindi anche usando 3 computer che contemporaneamente elaborano 4 Miliardi di passwords al secondo non riusciremmo a provare il 60% delle password in meno di 83 anni.
Ipotiziamo che questi computer costino 2000 euro ciascuno , investiamo 100 mila euro e comperiamo 50 computer che consumano 250W ciascuno = 12,5 Kw di potenza da farsi dare dall'ENEL per accenderli tutti
altri 22 mila euro di bolletta all'anno per pagare i consumi.
Quanto ci metterebbe?
presto fatto 83 anni *3 computer di prima / 50 computer di adesso = 4,98 Anni
Quindi 22 mila * 5 = 110 mila euro di bolletta + 100 mila euro di attrezzatura e ce la caviamo in 5 anni
con 26 caratteri invece non c'è niente da fare al massimo tanta tanta fortuna di generare qualche miliardo di passwords e beccare quella giusta con lo 0,00000...0001 percento di probabilità, perchè per arrivare al 60% ci vogliono migliaia di anni anche ipotizzando di usare migliaia di computer che fossero migliaia di volte piu potenti ed avendo un budget di milioni di miliardi di euro per comprarli e tenerli accesi.
Bene dunque, la password ideale sarà compresa tra 11 e 26 caratteri, sarà cambiata almeno 1 volta all'anno , sarà alfanumerica con maiuscole e minuscole lo stesso carattere non sarà ripetuto nella stessa password più di 5 volte e per ogni carattere ripetuto allungherò di 1 carattere la password a meno che non sia già arrivato a 26.
La password va poi scritta su un foglio e non sul computer, e nascosta in un luogo sicuro magari spacciandola per un codice bancario o un numero di tessera dell'autobus: non scriveteci sopra "password Wifi" oppure "password google", anzi non scrivete proprio la parola password.
Ok bene ora siamo al sicuro, per ora ( cioè fino a quando non saranno disponibili computer migliaia di volte più potenti di quelli attuali).
Usando il WPA comunque possiamo allungare la password fino a 63 caratteri il che ci da almeno dieci anni di tranquillità mediamente fino ad oggi i computer hanno costantemente aumentato la loro capacità di elaborazione nell'ordine di non più di 10 volte in 10 anni : nel 2002 compravo un computer con 1 cpu da 800Mhz nel 2012 compro un computer con 4 cpu da 2Ghz.
( Le considerazioni fatte si basano su test effettuati su una connessione Wifi con WPA PSK usando la suite AirCrack-ng 1.0 fornita con la distribuzione linux Backtrack 5 r2 elaborando con un pc quad core a 64 bit da 1,8Ghz per core un file da 1 milione di password lunghe 26 caratteri in circa 25 minuti)