Re: [Hackmeeting] Poste insic...ehm italiane

Supprimer ce message

Répondre à ce message
Auteur: White_Rabbit
Date:  
À: hackmeeting
Sujet: Re: [Hackmeeting] Poste insic...ehm italiane
On Thu, 2011-06-09 at 12:43 +0200, Tonno Svizzero wrote:
> On Thu, Jun 9, 2011 at 11:45 AM, White_Rabbit <bruno@???> wrote:
> > http://tracciabi.li/~bruno/av/poste_italiane.png
> > Ti *obbligano* ad usare una password debole.
> > Perché?
> Definisci insicura.


Insicura = si può rompere in tempo utile per utilizzare la risorsa che
protegge. Supponendo di poter attaccare a forza bruta, con una gpu è
possibile fare cose notevoli [0].
7 caratteri, 1050 secondi
8 caratteri, 66780 secondi (18h30m)
Poste italiane non permette di usare simboli nelle password, quindi ogni
carattere aggiunto alla password aumenta di 62 volte (26 minuscole + 26
maiuscole + 10 cifre) il tempo stimato per romperla, e i risultati
concordano dato che passando da 7 ad 8 il tempo aumenta di 63 volte.
Quindi 10 caratteri sono 3067 giorni; quindi la password è sicura dato
che non credo sia manco possibile attaccare a forza bruta poste
italiane. Se però hai soldi da spendere puoi usare molte più gpu [1] e
attaccare quasi 10 volte più velocemente, riducendo il tempo di quasi 10
volte, quindi in meno di un anno di forza bruta è possibile rompere una
password (senza simboli) di 10 caratteri. Se è la password di un conto
bancario, 1 anno mi pare poco. Ripeto, non credo sia possibile attaccare
a forza bruta poste italiane, ma dove lo si può fare 10 caratteri sono
pochi per proteggere qualcosa che abbia una "vita" superiore ad un anno.

/bruno
[0] http://mytechencounters.wordpress.com/2011/04/03/gpu-password-cracking-crack-a-windows-password-using-a-graphic-card/
[1] http://blog.zorinaq.com/?e=43
--
CONTACTS
XMPP (jabber) bruno@??? (gmail chat/pidgin/adium)
SIP bruno.anche.no@??? (ekiga/empathy/jitsi/blink/qutecom)