La sicurezza delle password ed il Pedone di Ken Thompson

Non c’è bisogno che vi ricordiamo che è fondamentale tenere al sicuro le vostre password (perché ne avete una per ogni diverso servizio vero?), così come cambiarle periodicamente è una pratica che dovrebbe diventare una vera e propria abitudine.

Già, perché non si sa mai dove le proprie password possono andare a finire, e quando possono essere ripescate: nel 2014 infatti la sviluppatrice Leah Neukirchen ha recuperato il file /etc/passwd di una vecchia macchina BSD risalente agli anni 80, contenente l’ hash delle password di alcuni dei padri fondatori di Unix come Dennis Ritchie (inventore di C), Brian Kernighan (inventore di awk), Steve Bourne (inventore di sh) e Ken Thompson (inventore di ed), e ha ben pensato a come sarebbe stato divertente provare a crackarle.

Nel post sul suo blog, racconta per sommi capi anche come:
Poiché l’algoritmo utilizzato per l’hashing era crypt(3), basato su DES (Data Encryption Standard), famoso per non essere proprio sicurissimo, sono bastati pochi colpi di tool come john the ripper e hashcat per ottenere i primi risultati. Tranne che per 5 utenti, tra cui ken, autore anche di crypt stesso, lasciando Leah con l’amaro in bocca.

Qualche giorno fa, la questione è tornata a galla – apparentemente dal nulla – nella mailing list The Unix Heritage Society:

“I never managed to crack ken’s password […] Any help is welcome.”

“Non sono mai riuscita a crackare la password dell’utente ken […] ogni aiuto è bene accetto”

La risposta è arrivata sette giorni dopo dalla Tasmania, da Nigel Williams, amministratore di sistema presso una società di computer ad alte prestazioni:

“ken is done:
ZghOT0eRm4U9s:p/q2-q4!
took 4+ days on an AMD Radeon Vega64 running hashcat […]”

“risolto ken:
ZghOT0eRm4U9s:p/q2-q4!
ci sono voluti 4 giorni, usando hashcat su un AMD Radeon Vega64 […]”

La conferma e i complimenti del diretto interessato sono giunte poco dopo. Gli otto caratteri p/q2-q4! a quanto pare sarebbero la notazione descrittiva di una popolare apertura negli scacchi che sposta il pedone al centro della scacchiera, scritta nel formato utile a Belle, una “macchina per gli scacchi” ideata dallo stesso Thompson (appassionato giocatore).

Ciò che emerge è la riprova che non conta quanto una password sia complessa in termini di caratteri alfa-numerici e simboli utilizzati, ma è la sua la lunghezza a renderla sicura.

In ogni caso, che sia lunga 8 caratteri come nel caso di Thompson, o una graffetta sopra una batteria, tenete al sicuro le vostre password e cambiatele spesso, non si sa mai quando potranno essere crackate!

Tags: , , ,