1Password smentisce LastPass: “100 dollari per violare il vault”

Another ICT Guy

1Password smentisce LastPass: “100 dollari per violare il vault”

LastPass continua ad essere bersagliata dalle critiche dopo l’ultimo incidente di sicurezza rivelato la scorsa settimana. Dopo la condanna dei ricercatori di sicurezza sulla superficialità con cui la vicenda è stata gestita, arriva ora la punzecchiatura di un concorrente, 1Password, che si sofferma in particolare sull’aspetto della sicurezza delle password.

LastPass aveva affermato che occorrerebbero milioni di anni per decifrare la master password di un utente, ma in realtà secondo 1Password il processo richiederebbe molto meno tempo e con un costo relativamente irrisorio.

Jeffrey Goldberg, principale architetto della sicurezza di 1Password, spiega il concetto: “Se si considerano tutte le possibili password di 12 caratteri ci sono circa 272 possibilità  e ci vorrebbero diversi milioni di anni per provarle tutte. Ma chi prova a violare le password create dall’uomo non lo fa in questo modo. I sistemi di cracking proveranno cose come “Fido8my2Sox!” e “2b||!2b.titq” ben prima di tentare password generate da una macchina come ad esempio zm-@MvY7*7eL. Le password create dagli esseri umani possono essere violate anche se soddisfano vari requisiti di complessità“.

Goldberg parte quindi dall’assunto che la maggior parte delle password create dagli utenti può essere violata in meno di 10 miliardi di tentativi (parliamo di un ordine di grandezza di circa 233) tramite un processo a basso costo. Nel caso in cui la password sia più breve e di bassa complessità, la sua violazione è ancor più semplice. Per Goldberg non ha senso citare il tempo necessario a provare tutte le 272 possibilità, in quanto le password create dall’uomo, pur complesse, rientrano facilmente in un sottodominio molto più piccolo.

Goldberg spiega poi che tramite una competizione di hacking è stato stimato che il costo della violazione di password codificate in maniera molto simile a quanto fatto da LastPass ammonta a 6 dollari ogni 232 tentativi. 100 dollari consentirebbero quindi di supportare 236 tentativi, e cioè circa 68 miliardi di password diverse, permettendo quindi di indovinare con un’ampia probabilità una password creata da un utente.

Il post si conclude, com’è lecito attendersi, con una spiegazione di come il sistema master password – secret key utilizzato da 1Password sia di gran lunga più sicuro rispetto all’approccio utilizzato da LastPass.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *