Luglio 22, 2020 Filippo Angeloni

Come creare password sicure per Bitcoin, ATTENTO al Brute Force

Se utilizzi Bitcoin, lo sai, la sicurezza è tutto… Con Bitcoin sei tu il responsabile della tua ricchezza e sei tu il custode dei tuoi soldi…basta un niente per mandare in fumo tutto il tuo patrimonio.

Una piccola svista, una perdita di una password, una perdita del seed, una perdita di una passphrase, possono comportare danni economici e psicologici anche molto gravi.

Utilizzare una password robusta ed efficace è essenziale, non solo per quanto riguarda Bitcoin ma anche per la nostra privacy (e sicurezza) nei social e nella nostra email personale/lavorativa.

Una password sicura ci salverà dai Brute force.

I brute force sono attacchi di forza bruta, con cui l’attaccante prova ad indovinare la password di un utente attraverso tentativi, provando tutte le combinazioni possibili ed immaginabili di lettere, numeri e simboli.

Gli attacchi Brute force sono attacchi, dove l’attaccante deve spendere “energie”, risorse e forza computazionale.

Ma… ad oggi si può… tramite cloud comprare potenza computazionale relativamente a basso costo; e nota bene buttare giù una password non solida è molto semplice!

Prova a dare un occhiata ai tempi di “cracking” di queste diverse password

blUFisH, un normale computer la “butta giu” in soli 5 giorni.

%ZBGbv]8, sembra una password molto difficile da crackare vero? utilizza caratteri speciali, lettere maiuscole e minuscole e numeri.

Eppure con un supercomputer questa password la butti giù in 4 ore…

E’ pur vero che ad oggi molti exchange di criptovalute rendono difficile il brute force, infatti gli exchange grazie a limitazione nel numero di tentativi per login, blocco ip e 2FA (autenticazione a 2 fattori) riescono a rendere la vita difficile ad un attaccante che voglia provare il brute force come attacco.

Però escludendo gli exchange, e gli Hardware wallet cripto, tutti gli altri servizi sono facilmente attaccabili lato password tramite brute force.

Entropia

La robustezza di una password si valuta tramite l’entropia.

Più l’entropia è elevata più la password è solida e robusta. Bassa entropia vuol dire password poco sicura.

Come si crea allora una password sicura?

La verità è che non si può (o quasi), le password non sono sicure!

Le passphrase invece lo sono!

Mi spiego meglio, l’utilizzo di una sola parola come password, seppur con caratteri speciali, lettere maiuscole e minuscole e numeri, non è sicuro.

Un insieme di più parole invece (passphrase) si.

Nasce cosi il metodo Diceware! un metodo per generare passphrase, un insieme di parole come queste

“casa lavoro stipendio sole mare luna ragazza palazzo”

  • Ricordare a memoria una passphrase di questo genere è molto più semplice rispetto a dover ricordare una password del genere 12iU!g%0&.

  • la sicurezza di questo insieme di parole, dato che vi sono molti più spazi e caratteri è estrema in confronto ad una normale password. 3 settimane per hackerare la password contro una quantità di anni che non so nemmeno quantificare 😀

12iU!g%0& , entropia –> 38.2 bits

casa lavoro stipendio sole mare luna ragazza palazzo , entropia –> 246.4 bits (l’entropia come puoi notare aumenta di molto)

ok, Filippo… a questo punto come creo una passphrase? la invento io?

NO. Ne le password ne le passphrase dovrebbero essere inventate/create da noi, perché in qualche modo sono personali.

In molti utilizzano password del genere

  • Filo1504! (Filo perche filippo è il nome, 1504 perché è la data di nascita e ! perché è un carattere per rendere più difficile la password)
  • Ludovica1902 (se magari tieni ad una persona… Ludovica è la tua ragazza, 1902 è la data di anniversario)

Queste password chiaramente non sono sicure, un bravo hacker le “butterebbe giù in un secondo” anche senza brute force, basterebbe studiare la persona che ha creato la password per buttarla giu.

Persino una passphrase, se inventata dal frutto della nostra mente potrebbe essere insicura.

Magari utilizziamo una frase di un libro o di qualcosa di cui siamo appassionati

“nel mezzo del cammin di nostra vita mi ritrovai in una selva oscura” (se siamo amanti di Dante)

“Gli farò un’offerta che non potrà rifiutare” (se siamo amanti del padrino)

e persino un insieme di parole a caso generate dal nostro cervello non sarebbero in realtà generate a caso.

In precedenza ho scritto…

“casa lavoro stipendio sole mare luna ragazza palazzo”

sono termini frutto della mia immaginazione, probabilmente termini che mi interessano o mi riguardano in qualche modo… Un bravo studioso della mente (mind reader, dell’FBI 😀 ) potrebbe addirittura arrivare a determinare queste parole. (certo è difficile ma non impossibile).

Ok, Filippo… allora come creo questa dannata passphrase?

La devi generare Randomicamente…

Utilizza Diceware. (puoi scaricarlo anche da Github, molto più sicuro utilizzarlo offline. )

E’ possibile addirittura utilizzare questo file testuale per selezionare manualmente le parole

  1. Scarica la lista di parole Diceware in italiano (link precedente).
  2. Decidi quante parole vuoi nella tua passphrase. Una passphrase di cinque parole fornisce un livello di sicurezza più alto rispetto alle semplici password che la maggior parte della gente usa. Si raccomanda una passphrase di sette, otto o nove parole per scopi più importanti BitCoin, e simili.
  3. Ora lancia il dado e scrivi il risultato su un foglietto di carta. Scrivi i numeri in gruppi di cinque. Crea tanti gruppi di cinque cifre quante sono le parole che comporranno la tua passphrase. Puoi lanciare un dado cinque volte o lanciare cinque dadi una volta, o qualsiasi combinazione intermedia. Se lanci diversi dadi alla volta, leggili da sinistra a destra.
  4. Cerca ogni numero di cinque cifre nella lista di parole Diceware e prendi la parola vicino ad esso. Per esempio, 21124 significa che la prossima parola nella tua passphrase dovrebbe essere catino 
  5. Quando hai fatto, le parole che hai trovato sono la tua nuova passphrase. Memorizzala e distruggi il foglietto di carta o ponilo in un luogo veramente sicuro.

Questo è tutto quello che c’è da fare!

Esempi

Supponiamo vuoi una passphrase di sei parole. Avrai bisogno di lanciare 6 volte 5 dadi cioè 30 lanci. Diciamo che siano usciti:

1, 6, 6, 6, 5, 1, 5, 6, 5, 3, 5, 6, 3, 2, 2, 3, 5, 6,
1, 6, 6, 5, 2, 2, 4, 6, 4, 3, 2 e 6.

Scrivi, i risultati su un foglietto di carta in gruppi di cinque lanci:

16665
15653
56322
35616
65224
64326

Poi per ognuno dei gruppi di cinque lanci cerca nella lista di parole Diceware la parola associata e scrivila a fianco del gruppo:

16665    casi
15653    botole
56322    stadi
35616    maglie
65224    venivo
64326    usura

Infine la tua passphrase sarà:

casi botole stadi maglie venivo usura

47×1078 anni per crackarla. Entropy: 140.2 bits

Puoi utilizzare questi website per controllare la difficoltà di una password

http://rumkin.com/tools/password/passchk.php (per entropia)

Per tempistiche

https://howsecureismypassword.net/ https://thycotic.com/resources/password-strength-checker/

, ,
Filippo Angeloni

Filippo Angeloni

Filippo Angeloni è investitore, imprenditore e consulente finanziario certificato OCF (iscritto nell’apposito albo). Possiede un master di I° livello in internazionalizzazione d’impresa e una laurea specialistica ottenuta con il massimo dei voti in Business Administration (università di Bologna – sede Forlì) Da sempre appassionato di finanza personale, crescita personale ed innovazioni dirompenti. Ogni settimana condivide la sua esperienza da consulente finanziario sul canale YouTube “Filippo Angeloni”, che con oltre 1.000.000 di visualizzazioni, è tra i canali di Finanza Personale più seguiti in Italia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *