Ogni servizio che utilizziamo in Rete, dall’account di posta elettronica al servizio di online banking, richiede l’uso di una password che, associata al nome utente scelto (username) permette di proteggere le proprie informazioni dagli accessi non autorizzati.
Molti programmi offrono poi la possibilità di proteggere con una password personale i documenti od i file da essi prodotti. E’ il caso, ad esempio, dei software contenuti nel pacchetto Microsoft Office, oppure di utilità per la creazione di archivi compressi come WinZip o WinRAR.
Va tuttavia sottolineato come alcuni programmi offrano uno scarso livello di protezione: facendo uso di speciali utilità, talvolta è possibile recuperare una password dimenticata in modo pressoché istantaneo. Nel caso, invece, di documenti creati con software che usano algoritmi di protezione mediante password piuttosto complessi, risalire alla parola chiave può diventare un’impresa titanica. Se la password è stata scelta, poi, da parte dell’utente, con cognizione di causa (lunga e composta da caratteri alfanumerici), scovarla è praticamente impossibile. A titolo di esempio, ricordiamo che una password di otto caratteri costituita da sole lettere minuscole, richiede, nel caso peggiore, circa 208 miliardi di tentativi.
Esistono programmi, come Advanced Zip Password Recovery, che sono in grado di provare diversi milioni di password al secondo, sfruttando i processori di ultima generazione. L’operazione di recupero di una password si complica enormemente se viene utilizzato tutto l’insieme dei caratteri ASCII, costituito da 256 elementi (per una password lunga sei caratteri le combinazioni possibili sono 256 elevato alla sesta ossia circa 281.474.976.711 miliardi).
Questo articolo non vuole incitare all’utilizzo di strumenti software in grado di permettere l’accesso ad informazioni di proprietà altrui; il nostro intento è invece quello di presentarvi programmi e metodologie per recuperare password con le quali avete protetto i vostri documenti e, con il passare del tempo, avete dimenticato. L’articolo vuole rappresentare, inoltre, una guida nella delicata scelta delle password migliori ed un ausilio nell’avvicinarsi al mondo della crittografia.
Iniziamo con un esempio pratico. I file zip sono, com’è risaputo, archivi compressi: si tratta di un formato, universalmente utilizzato, che permette di memorizzare, in un unico comodo file, una serie di documenti e file. Il formato zip permette di associare, all’archivio, una password che può essere costituita da lettere, numeri e caratteri speciali: tale funzione può essere sfruttata per impedire l’accesso al contenuto dell’archivio compresso da parte delle persone non autorizzate.
Tutti i software che permettono di creare e gestire archivi compressi in formato zip, includono una funzione per la protezione dei file mediante password. In WinZip (www.winzip.com) una password può essere aggiunta semplicemente cliccando sul pulsante Password situato nella finestra Add.
Esistono diversi programmi, prelevabili dalla Rete Internet, in grado di tentare il recupero di una password dimenticata. Abbiamo scelto per voi due strumenti eccellenti: Zip Password Finder e Advanced Zip Password Recovery. Il primo è un software completamente gratuito, distribuito da Astonsoft in grado di recuperare password da file ZIP di qualunque formato esse siano; il secondo è un software a pagamento, leader nel settore.
Per estrarre la password da un file ZIP protetto, non sono stati, ad oggi, scoperti algoritmi specifici. L’unico modo per risalire alla password è quello di tentare tre diverse tipologie di approccio: brute force attack, dictionary-based attack e known-plaintext attack.
Il brute force, come suggerisce il nome stesso, è un attacco che si basa su tentativi successivi: un programma che permette l’uso del brute force attack forza l’apertura di un file ZIP utilizzando tutte le combinazioni possibili per la password, fino a trovare quella esatta.
Il dictionary attack è, invece, un attacco basato su parole di uso comune: molto spesso si usano termini che fanno parte del linguaggio o nomi propri per proteggere un file. I programmi che mettono a disposizione il dictionary attack si basano proprio su questa filosofia.
Un known-plaintext attack, è invece un tipo di attacco basato sull’utilizzo di una versione non codificata e non compressa di uno dei file contenuti nell’archivio protetto da password. Questo file è usato per “decodificare” tutti gli altri. Supponiamo, per esempio, che tre file siano codificati all’interno di uno stesso archivio zip che fa uso della medesima password per tutti i file. Si assuma, inoltre, di aver a disposizione una copia non compressa di uno dei tre file e di essere interessati agli altri due. Un attacco di tipo known-plaintext può essere utilizzato, in questa circostanza, non solo per decodificare gli altri due file ma anche per risalire alla password. Un attacco di tipo known-plaintext è molto complicato ma, solitamente, è quello che dà i risultati migliori.
Zip Password Finder
Zip Password Finder (www.astonsoft.com/products/zpf/) – completamente gratuito – offre la possibilità di utilizzare solo il brute force attack, il programma è poi abbastanza lento (effettua circa 100.000 tentativi al secondo su sistemi dotati di una buona configurazione hardware…). Il suo vantaggio principale è, comunque, quello di essere completamente gratuito e di rendere il recupero di password piuttosto semplici una operazione alla portata di tutti.
Zip Password Finder non ha alcuna limitazione circa le dimensioni della password da ricercare e mette a disposizione la possibilità di tentare tutte le combinazioni possibili: password costituite solo da numeri, solo da caratteri maiuscoli, solo da caratteri minuscoli, maiuscoli/minuscoli oppure anche da caratteri speciali.
Va ricordato che il programma è in grado di scovare, in modo rapido, le password piuttosto semplici (brevi e costituite da un limitato set di caratteri). Nel caso in cui si abbia a che fare con password di ampie dimensioni contenenti, magari, dei caratteri speciali, potrebbero essere necessari giorni se non anni per raggiungere l’obiettivo.
Per avere un’idea vediamo qualche esempio: una password costituita solo da numeri è quella più semplice da trovare. Poiché, infatti, le cifre vanno da 0 a 9, le possibili combinazioni, per una password costituita da 8 cifre, sono 10 elevato alla ottava ossia 100 milioni. Zip Password Finder è in grado di recuperare una password simile, sfruttando un computer basato su un processore recente, in poco più di venti minuti.
Per una password costituita da soli caratteri minuscoli le combinazioni possibili arrivano a circa 209 miliardi (il programma impiegherebbe un mese per scovare la password giusta) per arrivare a password complesse costituite da combinazioni di caratteri alfanumerici e speciali che richiederebbe un lavoro di anni o di decenni!
Al termine dell’installazione del programma, Zip Password Finder si presenterà sotto forma di icona all’interno del menù Programmi di Windows. Cliccandovi sopra, verrà eseguito il programma che vi proporrà di scaricare dalla Rete due programmi dello stesso produttore: il primo – PCDoor Guard – in grado di controllare la presenza, sul vostro computer, di trojan virus e programmi in grado di rendere il vostro sistema facilmente vulnerabile e il secondo – Archivarius – un software che permette di gestire con semplicità molteplici archivi compressi. Fate clic sulla piccola icona in basso a destra simboleggiante una porta, per accedere al programma vero e proprio.
Zip Password Finder è costituito da un’unica finestra, piuttosto compatta. Per prima cosa è necessario cliccare sul pulsante Open che permette di scegliere il file ZIP, protetto da password, che si desidera analizzare.
A questo punto, dalla finestra principale del programma, è possibile selezionare le specifiche della password che si desidera cercare. Optando fra una delle nove possibilità proposte, è necessario indicare, in primo luogo, da quali caratteri è costituita la password che si desidera recuperare. Se si ricorda di aver utilizzato, per proteggere l’archivio zip, una password costituita solamente da numeri, è sufficiente selezionare l’opzione Numeric (0-9); se, invece, per esempio, si sono impiegati esclusivamente caratteri maiuscoli o minuscoli, va selezionata, rispettivamente, l’opzione Alpha upper (A-Z) oppure Alpha lower (a-z).
A questo punto bisogna specificare le dimensioni massime della password che si vuole recuperare: la dimensione va digitata nella casella Max Password Length. Ovviamente, valgono le considerazioni che abbiamo più volte sottolineato in precedenza: il tempo necessario per recuperare una password è direttamente proporzionale al set di caratteri usato per la password ed alla sua lunghezza. Recuperare una password alfanumerica di dimensioni cospicue può divenire, con i personal computer attuali, un’impresa praticamente impossibile.
Una volta specificato il file ZIP da analizzare, le dimensioni della password e i caratteri che possono comporla, la pressione del pulsante Start, permetterà di avviare il processo di recupero.
Dopo aver avviato la procedura di recupero della password, Zip Password Finder visualizzerà, nella parte destra della finestra, lo stato di avanzamento del processo. La voce Passwords total suggerisce il numero di combinazioni possibili, Hits per sec. indica, invece, il numero di password che vengono provate ogni secondo mentre Remained time il tempo rimanente, stimato, per giungere alla password.
Si tenga, presente, comunque, che non è necessario lasciare il personal computer acceso per giorni interi: il programma memorizza, in tempo reale, l’ultima password che ha provato. Si può quindi lasciare all’opera Zip Password Finder mentre si sta scrivendo un documento in Internet o mentre si naviga in Rete: quando lo si desidera si potrà, poi, spegnere normalmente il personal computer. Riavviando Zip Password Finder, in un secondo tempo, e specificando nuovamente lo stesso file ZIP, il pulsante Load last saved password consentirà di riprendere il recupero della password dal punto in cui si era rimasti.
Advanced Zip Password Recovery
Advanced Zip Password Recovery (abbreviato AZPR; prelevabile da questa pagina) è, invece, la Ferrari tra i software della sua categoria. Sviluppato da Elcomsoft, azienda specializzata nel recupero password di qualunque genere, è un programma commerciale (la registrazione costa 30 Dollari per uso personale), distribuito comunque anche in versione dimostrativa, limitata nelle sue funzionalità.
Il principale vantaggio di AZPR è quello di essere in grado di provare fino a 15 milioni di password al secondo (un valore irraggiungibile da parte di software come Zip Password Finder).
La versione dimostrativa di AZPR, riduce a 5 caratteri la dimensione specificabile per la password nel caso di un brute force attack; alcuni tipi di dictionary attack, inoltre, non sono consentiti.
Per utilizzare il programma, è sufficiente cliccare sull’apposito pulsante – contenuto nel box Encrypted ZIP file – per indicare il file ZIP da processare, specificare il tipo di attacco dal menù a tendina sulla destra, impostare le specifiche della password (combinazioni possibili) e lunghezza della stessa servendosi, rispettivamente, delle cartelle Range e Length.
AZPR consente di memorizzare lo stato del processo di recupero di una password per riprenderlo, in un secondo tempo, dal punto in cui lo si era lasciato. In questo modo, nel caso di password complesse che richiedano diversi giorni di lavoro, è possibile suddividere l’operazione di recupero della password in più riprese. Il programma funziona in background e non influisce in alcun modo sulle prestazioni globali del personal computer (mentre AZPR va alla ricerca della password si può, quindi, continuare a lavorare normalmente).
Come “ciliegina sulla torta”, AZPR è anche “traducibile” in lingua italiana cliccando sulla scheda Options, quindi su Language ed infine su Italiano.
Tipologie di attacco e crittografia
Le tipologie di attacco citate nell’introduzione sono in genere applicabili anche a tutti gli altri formati (ad esempio ai file compressi in formato RAR, ai file ACE, ARJ, PDF,…). La stessa Elcomsoft mette a disposizione, per ciascun formato di file, un software specifico per il recupero delle password. E’ possibile, in proposito, fare riferimento a questa pagina.
Nella stessa pagina è possibile trovare anche programmi per recuperare password dimenticate di documenti Microsoft Office (Word, Excel, Access), di Internet Explorer, di Outlook e Outlook Express.
Per i file in formato RAR, protetti da password, consigliamo, in alternativa, il programma gratuito RAR Password Cracker prelevabile da qui.
Per rendere impossibile il recupero di una password è invece bene orientarsi sull’utilizzo della crittografia. Tra i tanti programmi commerciali, shareware e freeware consigliamo l’uso di BFacs (ved. questo nostro articolo), la soluzione ideale per la protezione dei dati a livello locale (sul proprio personal computer od in rete aziendale LAN). Il sistema utilizzato da BFacs è quello a chiave simmetrica: esso implica la conoscenza della password impostata sia per l’operazione di codifica che per quella di decodifica.
Se la password con il quale è stato crittografato un archivio è stata scelta con cura, il suo recupero mediante l’uso di software sviluppati “ad hoc” risulterà impossibile.
Lo stesso autore di BFacs ha sviluppato un software (denominato Password Finder) per cercare di recuperare la password mediante la quale sono stati crittografati uno o più file. L’unico modo per “attaccare” i file crittografati con BFacs, così come quelli realizzati con altri software similari, è quello di impiegare un brute force attack. Password Finder si riduce ad un’unica finestra all’interno della quale si dovrà specificare la dimensione della password (Password Size), ed il Key Spectrum, ossia l’elenco completo di tutti i caratteri che devono essere combinati tra loro per trovare la password. Ad esempio, se si indica come dimensione della password 3 caratteri e si inserisce abc come Key Sprectrum, il programma provvederà a ricercare la password effettuando tutte le possibili combinazioni dei caratteri abc. Se si attiva, invece, la casella Binary, Password Finder cercherà la password (dalle dimensioni specificate) provando tutte le possibili combinazioni dei caratteri ASCII. Per rendersi conto della differenza, supponiamo di impostare 3 come dimensione della password: inserendo, nel campo Key Spectrum, tutte le lettere dell’alfabeto le combinazioni possibili sono 17.576 mentre, qualora si attivi la casella Binary, le possibilità diventano 16 milioni.
Provate a risalire alla password con la quale avete crittografato un file con BFacs: vi renderete conto di come l’algoritmo usato da Password Finder sia veloce. Contemporaneamente, effettuando qualche prova vi renderete conto di quali siano le specifiche per rendere una password difficile – se non impossibile – da scoprire.
La generazione e la gestione delle password
Avrete quindi già compreso come la scelta delle password costituisca un’operazione cruciale. La regola da seguire, per difendere i propri dati da occhi indiscreti (considerato che programmi per il recupero password ne esistono ormai a bizzeffe…), è quindi quella di scegliere password di lunghe dimensioni, utilizzando poi caratteri speciali (come il segno meno, il punto interrogativo, e così via): si aumenterà così il numero delle possibili combinazioni e delle prove che, attraverso l’adozione di un bruce force attack, devono essere compiute. Non usate però, per nessun motivo, password contenenti nomi comuni o nomi di persona: il solito malintenzionato potrebbe tentare un dictionary attack ossia un attacco basato su parole di uso comune.
La password migliore è quindi quella “random” ossia quella del tutto casuale. Password Generator è un programma che risolve il problema della generazione di password casuali: l’utente deve solo specificare lunghezza della password e set di caratteri da utilizzare; penserà il programma a generarla. Il programma non richiede alcuna installazione: è sufficiente fare doppio clic sul file eseguibile; il pulsante Generate permetterà di generare la vostra password casuale. La password può quindi essere copiata nell’area degli appunti di Windows (Copy) per essere poi inserita altrove.
Tante sono, al giorno d’oggi, le password che è necessario ricordare (ad esempio quelle per la posta elettronica, per l’accesso al proprio online banking, ad altri servizi Internet e così via…). Come fare per ricordarle tutte senza fatica proteggendole, però, allo stesso tempo, da occhi indiscreti?
Abbiamo scelto per voi due software gratuiti (Password Depot e Oubliette) in grado di conservare tutte le vostre password evitando però che queste possano cadere nelle mani di malintenzionati. Ciò è possibile grazie all’utilizzo di algoritmi crittografici che consentono l’accesso al proprio archivio password solo ed esclusivamente da parte del legittimo proprietario.
Password Depot (www.password-depot.com). Si tratta di un programma, completamente gratuito e dotato di un’interfaccia utente intuitiva ed accattivante, che offre un valido supporto per la gestione di tutte le vostre password.
Il programma integra infatti gli algoritmi BlowFish e Rijndael che permettoni di rendere le vostre password inaccessibili agli utenti non autorizzati.
Password Depot include numerose funzionalità quali un generatore di password, “password expiration” (avvisa quando una password diventa troppo “vecchia”…), funzioni di ricerca, funzionalità per importare od esportare la lista delle password, opzioni di backup e molto altro ancora.
Password Depot è dotato anche di una pratica barra (posizionabile in testa allo schermo) che permette un rapido accesso a tutte le vostre password.
La versione freeware non consente di gestire più di 20 password; una limitazione trascurabile per gran parte degli utenti medi.
Al termine dell’installazione, dopo aver avviato il programma, sarà necessario cliccare sul tasto New list per creare un nuovo “contenitore” per tutte le vostre password.
La finestra successiva consentirà di indicare il nome da attribuire all’archivio delle password nonché di specificare una password (List Access Key) da utilizzare per la protezione dell’archivio. Consigliamo di impostare una password lunga e complessa. Il programma mostra la “qualità” della password scelta nel box Quality of list access key: assicuratevi che la striscia colorata viri verso il colore verde/blu; così facendo sarete certi di aver optato per una password valida.
A questo punto è possibile cliccare sul pulsante Add per aggiungere le proprie password. Per ciascuna di esse è possibile inserire una descrizione, indicare l’importanza della password, indicare opzionalmente un indirizzo Internet (URL) ove la password sarà utilizzata, attivare la funzione “auto-complete”, introdurre dei commenti.
E’ possibile, inoltre, suddividere in gruppi le proprie password (ad esempio un gruppo di password per gli account di posta, un altro per i servizi di online banking, un altro ancora per i servizi sul web e così via…).
Oubliette (www.tranglos.com). Oubliette è un altro programma gratuito che offre la possibilità di gestire le proprie password senza correre il rischio di dimenticarle o perderle. Avviato per la prima volta, Oubliette richiede di creare un nuovo archivio per la memorizzazione delle password. Il nome dell’archivio che si desidera creare va inserito nel campo File mentre nella casella Comment è possibile specificare una descrizione per il contenuto dell’archivio stesso. Per proteggere l’archivio è quindi necessario specificare una password (Passphrase) che sarà utilizzata dal programma per crittografare tutti i dati mediante gli algoritmi Blowfish o Idea. La nostra raccomandazione è sempre la stessa: non scegliete mai password banali e troppo corte. Optate, invece, per password più complesse contenenti, magari, anche caratteri alfanumerici e simboli.
Dopo aver creato il vostro archivio, all’interno del quale verranno memorizzate le varie password, accedete al menù Account , Add account per aggiungere i dati relativi, ad esempio, ad un vostro account di posta elettronica o quelli necessari per l’accesso ad un certo servizio Internet.