Abbiamo detto parecchie volte che l’utilizzo di una semplice accoppiata nome utente/password non è oggi più sufficiente per proteggere efficacemente qualunque account. Per poter fidare di un livello di sicurezza più elevato, è consigliabile servirsi di meccanismi di autenticazione a due fattori, soprattutto per proteggere le informazioni di maggior valore: Sicurezza account, come migliorarla con le chiavette FIDO2.
Ovvio poi che nel caso delle credenziali di tipo tradizionale siano fondamentali la scelta di una password robusta, corretti conservazione e utilizzo della stessa, la selezione di una password unica (mai utilizzata su altri servizi) e l’impiego di un solido algoritmo crittografico. Qualche consiglio: Creare password sicura: oggi ricorre il World Password Day.
La potenza computazionale delle moderne GPU, soprattutto se utilizzate in configurazioni che permettono di usarle in parallelo, consente di sferrare attacchi di tipo brute force particolarmente efficaci: in questo modo, soprattutto se la password non fosse complessa (lunga; contenente lettere, numeri e caratteri speciali) e il sistema da aggredire non bloccasse i ripetuti tentativi tesi a “indovinare” la password), risalire alle credenziali altrui potrebbe essere questione di poco tempo.
La startup Active Cypher ha costruito un computer quantistico, battezzato QUBY, che consente di ridurre ancora i tempi per condurre un attacco brute force, anche allorquando venissero usati algoritmi crittografici come AES-256.
Utilizzando hardware del valore di 600 dollari facilmente acquistabili online o in un negozio di elettronica, il fondatore e CTO di Active Cypher, Dan Gleason, ha messo a punto un computer quantistico portatile (il cui nome QUBY deriva appunto da qubit ossia l’unità base di informazione quantistica) che servendosi di algoritmi quantistici aperti è capace di svolgere attività di cracking su qualunque tipo di credenziale d’accesso conservata in forma crittografata. Calcoli che fino a “ieri” richiedevano anni su computer convenzionali vengono ora eseguiti in pochi secondi con QUBY.
Gleason spiega: “dopo anni in cui abbiamo previsto questo tipo di pericolo e i ripetuti avvertimenti circa l’utilizzo di protocolli intrinsecamente insicuri, soprattutto in ottica futura, ho deciso di prendermi una settimana e di realizzare un prototipo. Spero che QUBY possa aumentare la consapevolezza di come le minacce alla sicurezza derivanti dall’utilizzo del calcolo quantistico non siano riservate a progetti sponsorizzati da governi a fronte di finanziamenti da miliardi di dollari ma possano essere realizzati su scala molto più ampia e in ambito locale“.
Gli esperti di sicurezza informatica ritengono che il calcolo quantistico possa portare (ci vorranno comunque anni) al tramonto di uno standard per la cifratura dei dati come AES-256.
“La potenza di QUBY mette in evidenza le vulnerabilità intrinseche della maggior parte delle infrastrutture di sicurezza IT. I vantaggi del calcolo quantistico saranno senza dubbio numerosi: utilizzandolo, un giorno forse si sarà in grado di individuare cure contro il cancro e sviluppare soluzioni per la fame nel mondo. Ma sarebbe da incoscienti non rendersi conto dei pericoli che una tale tecnologia può introdurre nel caso in cui cadesse nelle mani di soggetti malintenzionati“, ha aggiunto Mike Quinn, Chief Strategy Officer di Active Cypher.
La “sacralità” della crittografia convenzionale è morta secondo Active Cypher che, al di là di QUBY, ha sviluppato un modello che prevede l’utilizzo di algoritmi crittografici di tipo dinamico concepiti per contrastare l’utilizzo di approcci quantistici.
Gleason spiega che la soluzione crittografica proposta da Active Cypher, che sarà oggetto di un’approfondita presentazione con il supporto di Microsoft (in occasione della prossima edizione della RSA Conference, a fine febbraio), “non si basa sulla soluzione di un problema matematico. Poggia sull’utilizzo di una chiave molto grande, casuale, che viene utilizzata per creare il testo cifrato offuscato, senza alcuna informazione spia all’interno del testo cifrato. È impossibile derivare la chiave crittografica attraverso tentativi di fattorizzazione-tradizionali (“brute forcing”) che fanno leva sul testo cifrato per estrarre informazioni chiave“.
Se ne parla in questo white paper.
QUBY non è affatto un sistema supercompatto ma è comunque stato concepito in modo da essere inserito in uno zaino. Difficile quindi che si tratti di un computer quantistico convenzionale, quanto piuttosto di un sistema che ne emula e approssima il funzionamento, magari basato sul kit rilasciato a suo tempo da Microsoft: Quantum computing: Microsoft rilascia un kit e il linguaggio Q# per programmare i computer quantistici. Un esperimento, quindi, volto a dimostrare che cosa sarà possibile fare davvero con i computer quantistici nel prossimo futuro. Ne sapremo di più a breve.