tante curiosità e trucchetti dal mondo dell'informatica
Brutte notizie per gli utenti di Twitter: una gestione non proprio efficiente dei tentativi di connessione permette ai malintenzionati di scoprire la password di un account grazie a un semplice attacco brute force (per chi non lo sapesse, un metodo per risalire a una password con un numero consideverole di tentativi).
Secondo quanto riportato da Dennis Jones in questa pagina infatti un hacker che abbia a disposizione un buon numero di indirizzi IP da cui far partire le procedure di login avrebbe un numero di tentativi sufficiente a scoprire una password in barba al sistema di protezione di Twitter.
Questo perchè il sistema di sicurezza del social network in questione effettua la verifica del numero di tentativi necessari affinchè l'account venga bloccato solo in base all'indirizzo IP da cui avviene la connessione.
In pratica una volta raggiunto il limite massimo di tentativi con un determinato indirizzo IP basta cambiarlo per avere a disposizione una nuova serie di tentativi di login; in questo modo, supponendo di essere in grado di gestire le connessioni di parecchie decine di indirizzi IP (cosa abbastanza frequente per ogni hacker di capacità medie), si può riprovare potenzialmente all'infinito.
Proprio quello che è capitato al signor Jones, che si è visto cambiata la password del proprio account come descritto sul suo blog. Non c'è bisogno di essere dei grandi matematici per capire che al giorno d'oggi, con computer sempre più potenti e con un numero elevato di tentativi a disposizione è abbastanza semplice risalire a una password non troppo complicata e prendere possesso di un account.
Non solo: anche se potrebbe sembrare un caso isolato non è detto che se una simile leggerezza è stata commessa dagli sviluppatori di un social network con milioni di utenti non ci siano anche altre centinaia (se non migliaia) di siti minori con lo stesso problema.
Purtroppo i problemi di sicurezza legati alle password sono abbastanza difficili da risolvere e per quanto gli sviluppatori possano impegnarsi è l'utente che deve fare le cose per bene scegliendo delle password sufficientemente complesse. Solo in questo modo gli hacker avranno la vita difficile; in caso contrario la sicurezza di qualsiasi account è a rischio.