© 2000-2023 - Enkey Magazine - Tutti i diritti riservati
ENKEY SNC - P.IVA IT03202450924 / Cod. REA CA253701 - Tel. 078162719
Il rilascio di L0phtCrack 7, software per la verifica e il recupero della password, permette di fare il punto sull’evoluzione dei sistemi di gestione delle password della piattaforma Windows. L’algoritmo di hash MD4 utilizzato da Microsoft mostra la sua debolezza nei confronti dei più recenti strumenti che consentono di craccare le password.
L0phtCrack è uno storico software che permette di verificare la robustezza delle password e di recuperarle. La prima versione del software è stata rilasciata nel 1997, ma il progetto, a quasi 20 anni di distanza, è tutt’altro che abbandonato. Nelle scorse ore è stato infatti rilasciato L0phtCrack 7; nel presentarlo, l’autore fornisce un dato meritevole di menzione: le password di Windows sono ancora più facili da craccare oggi rispetto a quanto non lo fossero nel 1997.
L0phtCrack è stato il primo software per l’auditing delle password realizzato per il sistema operativo Windows ed il suo arrivo ha inciso sul modo in cui Microsoft ha gestito le password della sua piattaforma software. Dopo il rilascio del tool, infatti, la casa di Redmond sostituì l’alogritmo di hash (lo strumento che cripta le password) LANMAN con il nuovo algoritmo NTLM. L0phtCrack era in grado di craccare una password ad otto caratteri di Windows NT in circa 24 ore utilizzando un PC con CPU Pentium II a 400 MHz
A rendere più semplice il crack delle password è, naturalmente, il progresso tecnologico che permette di sfruttare un hardware molto più prestante rispetto a quello dell’epoca e che, quindi, consente all’engine di L0phtCrack di operare in maniera più rapida ed efficiente. Ma il tool riesce a sfruttare anche alcune debolezze del sistema di gestione della password di Windows. Come sottolineato dall’autore del tool nell’annunciare L0phtCrack 7:
Su una macchina da gioco del 2016, con costi hardware inferiori, L0phtCrack 7 può craccare le stesse password memorizzate nel recente Windows 10 in 2 ore. Le password Windows sono diventate molto meno sicure nel corso del tempo e molto più semplici da craccare rispetto all’epoca di Windows NT. Altri sistemi operativi, come Linux, offrono hashing delle password molto più sicuri, comprendendo l’SHA-512 raccomandato dall’NSA.
Nello specifico, l’algoritmo di hashing scelto da Microsoft, l’MD4, viene utilizzato da oltre 25 anni e, pertanto, è considerato poco sicuro. L’invito rivolto a Microsoft da Chris Wysopal, uno dei membri fondatori di L0pht è, in primo luogo, quello di modificare l’algoritmo di hash, unitamente ad un’altra serie di accorgimenti:
Microsoft dovrebbe fare quello che Unix ha fatto offrendo molteplici algoritmi di hashing più solidi, come bcrypt. Solo questo renderebbe le password di Windows 3 milioni di volte più difficili da craccare rispetto all’algoritmo MD4 che utilizzano.
Microsoft potrebbe inoltre rendere invalide le password troppo corte. Io raccomando una password con non meno di 15 caratteri se vogliono continuare ad utilizzare l’algoritmo MD4. Ma non mi aspetto che ciò avvenga. Vogliono che gli amministratori impostino le loro policies per le password. Molti amministratori ritengono che 8 caratteri, che richiedono lettere maiuscole e minuscole, con valori numerici e un simbolo, siano sicuri. L0phtCrack può dimostrare che non è vero.
In sostanza, non molto è cambiato rispetto al 1997, ed anzi qualcosa è anche peggiorato visto che l’esperto di sicurezza conclude la sua analisi affermando:
Microsoft ha lentamente disapprovato il vecchio hash LANMAN tra Windows NT e Vista. Adesso è stato completamente sostituito ma l’attuale hash MD4 è più debole oggi di quanto non lo fosse LANMAN quando abbiamo creato L0phtCrack
In attesa di scoprire se Microsoft deciderà di cogliere il suggerimento degli autori di L0phtCrack, è possibile verificare la robustezza delle proprie password Windows, utilizzando la più recente versione del software. I dettagli su caratteristiche complete, prezzo e documentazione di L0phtCrack 7 sono disponibili collegandosi a questo indirizzo. Gli sviluppatori offrono la possibilità di utilizzare la nuova versione del software gratuitamente sfruttando per 15 giorni la versione di prova.