Differenza tra Password Cracking e Social Engineering in informatica

Differenza tra Password Cracking e Social Engineering in informatica

Password Cracking

Nell’ambito informatico, quando un utente immette una password viene generato un hash della password immessa e confrontata con un hash memorizzato della password effettiva dell’utente. Se gli hash corrispondono l’utente è autenticato. Il cracking della password è il processo di recupero delle password dagli hash delle password memorizzati in un sistema informatico o trasmessi su reti. Una volta ottenuti questi hash, un cracker di password automatizzato genera rapidamente hash aggiuntivi fino a quando non viene trovata una corrispondenza o si decide di interrompere il tentativo di cracking.

Un metodo per generare hash è un attacco dizionario, che usa tutte le parole in un dizionario o in un file di testo. Ci sono numerosi dizionari disponibili su Internet che comprendono lingue maggiori e minori, nomi, luoghi, ecc. Un altro metodo di cracking è noto come attacco ibrido, che si basa sul metodo dizionario ma con l’aggiunta di caratteri numerici e simbolici alle parole del dizionario. A seconda del password cracker utilizzato, questo tipo di attacco può provare diverse varianti, come l’uso di sostituzioni comuni di caratteri e numeri per lettere (ad esempio @ o 4 al posto di ‘a’). Alcuni tentano anche aggiungendo caratteri e numeri all’inizio e alla fine delle parole del dizionario (ad esempio Password99, password?!). Un altro metodo di cracking della password è chiamato brute force: si tratta di generare tutte le password possibili fino a una lunghezza prefissata. Dal momento che le possibilità sono molte, possono essere necessari mesi per craccare una password con questo metodo, tuttavia con un tempo e una potenza di elaborazione sufficienti tutte le password potrebbero essere violate. Il cracking della password può anche essere eseguito con le rainbow tables, che non sono altro che tabelle di ricerca con hash delle password pre-calcolate. Queste tabelle richiedono grandi quantità di spazio di archiviazione e possono impiegare molto tempo per essere generate, ma il loro difetto principale è che potrebbero risultare inefficaci contro l’hashing delle password che utilizza il salting. Il salting è l’inclusione di una parte di informazioni casuali nel processo di hashing della password che riduce la probabilità che password identiche restituiscano lo stesso hash.

I cracker delle password possono essere eseguiti durante un VA per garantire la conformità della composizione delle password alle policy di sicurezza aziendale. Inoltre l’esecuzione di questo processo offline non produce alcun impattio sul sistema o sulla rete.

Differenza tra Password Cracking e Social Engineering in informatica

Social Engineering

Il social engineering è il tentativo di indurre qualcuno a rivelare informazioni (ad esempio una password) che possono essere utilizzate per attaccare sistemi o reti. Viene utilizzato per testare l’elemento umano e la consapevolezza nell’utente della sicurezza e può rivelare punti deboli nel comportamento degli utenti. Il social engineering può essere eseguito in molti modi, compresi quelli analogici conversazioni condotte di persona o telefonicamente e digitali come e-mail, messaggistica istantanea. Una di queste tecniche è nota come phishing: gli aggressori tentano di rubare informazioni come numeri di carte di credito, ID utente e password utilizzando e-mail dall’aspetto autentico per richiedere informazioni o indirizzare gli utenti a un sito web fasullo che raccoglie informazioni. Altri esempi includono l’elaborazione di e-mail fraudolente e l’invio di allegati che potrebbero simulare l’attività di worm.

Il social engineering può essere indirizzato a specifici individui o a gruppi di alto valore nell’organizzazione. Chi viene selezionato per essere target di una campagna di social engineering deve rimanere anonimo, poichè i risultati devono essere utilizzati per migliorare la sicurezza dell’organizzazione e non per imbarazzare gli individui che cadono nell’inganno. Queste tecniche aiutano le organizzazioni a personalizzare i loro programmi di formazione sulla consapevolezza della sicurezza.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *