Come proteggersi da un attacco al tavolo arcobaleno

di

Gli attacchi al tavolo arcobaleno sono molto efficaci nel decifrare anche le password apparentemente lunghe. Tuttavia, proteggersi è facile e ti diremo come. Rimani sintonizzato!

Ci viene sempre detto di impostare lunghe stringhe di password per una migliore sicurezza online. Sebbene sia vero in una certa misura, la sicurezza informatica è molto più complessa dell’impostazione di una lunga stringa di caratteri alfanumerici.

Sebbene l’hacking di una password lunga sia in genere un’attività in salita, questa è una passeggiata se si dispone dell’hash della password (spiegato nella sezione successiva) e della tabella arcobaleno richiesta.

Che cos’è un attacco al tavolo arcobaleno?

Non così complesse (o colorate), le tabelle arcobaleno sono set di dati (come questo: tabelle arcobaleno gratuite) di hash che corrispondono alle password comuni (o trapelate).

Per comprendere la loro importanza in un attacco online, dobbiamo capire come funzionano le password.

Un database di password generalmente memorizza le password specificate dall’utente in formato segreto (con hash) per una maggiore sicurezza. Raggiungono questo obiettivo crittografando le password in testo semplice utilizzando qualsiasi algoritmo di hashing.

Quindi, ogni volta che inseriamo una password in qualsiasi portale online (diciamo Gmail), crea un hash e viene confrontato con gli hash salvati. E accediamo correttamente se l’hash generato corrisponde a quello nel database.

Per esempio, ho utilizzato lo strumento Generate Hash di winadmin.it; guarda:

Quindi, se qualcuno utilizza una password (pericolosamente semplice) come geekflare123, avrà un hash corrispondente salvato come c0b78d5679f24e02fe72b8b30f16bbda nel database.

In particolare, l’algoritmo di hashing distribuito per generare questo hash è MD5.

Supponiamo ora che un cattivo attore ottenga illecitamente l’accesso al database hash; possono utilizzare uno strumento di cracking delle password che utilizza una tabella arcobaleno (per l’algoritmo MD5) per abbinare questo hash rivelando la password originale, che è geekflare123.

Successivamente, lo accoppiano con il tuo nome utente e l’account specifico viene violato.

Questo è chiamato attacco al tavolo arcobaleno.

Leggi anche: Come decifrare le password utilizzando lo strumento Hashcat?

Passi per proteggersi da un attacco al tavolo arcobaleno

Un attacco alla tabella arcobaleno è il risultato di un database hash compromesso. O l’hacker ha accesso diretto ad esso o ha sfruttato tutto ciò che è già disponibile sul dark web.

In ogni caso, la sicurezza contro tali attacchi dipende da te e dall’amministratore del database delle password.

Come individuo, puoi:

  • Imposta password univoche e continua a controllarne lo stato contro le fughe di notizie dal dark web. Puoi farlo utilizzando gli strumenti di monitoraggio del dark web, che aiutano a verificare se una credenziale è esposta. Successivamente, modificare la password specifica per rimanere al sicuro.
  • La cosa ancora migliore è utilizzare l’autenticazione a più fattori. Aggiunge un’altra variabile all’equazione per una sicurezza solida. Si possono semplicemente utilizzare app di autenticazione o strumenti di sicurezza hardware come Yubikey.
  • Tuttavia, il modo migliore per procedere è l’autenticazione senza password. Sono probabilmente più sicuri rispetto all’utilizzo delle password. Nessuna password, nessun hack di password. Funziona utilizzando collegamenti di accesso magici, TOTP, dati biometrici, ecc. Tuttavia, non tutti i portali online dispongono di un’infrastruttura di accesso così avanzata. Ma usali se sono disponibili.

    • Ci sono alcune altre cose che sono principalmente rivolte ai sistemi di gestione delle password.

  • L’aggiunta di sale (caratteri extra) alle password prima dell’hashing le rende uniche, rendendo inutili le tabelle arcobaleno disponibili. Inoltre, il sale non dovrebbe includere il nome utente per la massima casualità.
  • Si dovrebbe evitare di implementare algoritmi di hashing obsoleti come MD5, SHA1, ecc. Invece, SHA256 o SHA512 sono attualmente opzioni migliori fino a quando non viene fuori qualcosa di più sicuro.
  • Inoltre, gli hash memorizzati possono essere migliorati ripetendo l’hash del primo hash con salt e la password originale. Il processo può essere ripetuto più volte, rendendo l’hacking esponenzialmente difficile a causa dei limiti di calcolo.

    • Gli attacchi al tavolo arcobaleno sono ancora una minaccia?

    Questi attacchi stanno diventando sempre più obsoleti poiché gli hash salati sono la nuova normalità. Inoltre, gli algoritmi di hashing avanzati stanno diventando comuni, rendendo gli attacchi ai tavoli arcobaleno un ricordo del passato.

    Perché creare da solo un tavolo arcobaleno è molto difficile. E un utente malintenzionato è spesso limitato alle tabelle arcobaleno disponibili, il che non serve a nulla se vengono prese le precauzioni elencate.

    Avvolgendo

    La sicurezza informatica è una lotta continua tra noi e Internet. Non puoi abbassare la guardia ed è bene rimanere aggiornati con le best practice attuali.

    Anche se gli attacchi al tavolo arcobaleno potrebbero non essere rilevanti nel contesto attuale, è bene prendere nota delle misure elencate e applicarle immediatamente.

    PS: Ma gli attacchi al tavolo arcobaleno non sono i soli e ci sono alcuni altri tipi di crimini informatici da cui fare attenzione.