🔐 Come si “scova” una password? La verità tecnica dietro il cracking offline

Nel mondo della cybersecurity, poche attività sono fraintese quanto il password cracking. Molti immaginano hacker che “indovinano” password entrando direttamente nei sistemi. La realtà è molto diversa: i professionisti della sicurezza — e purtroppo anche i criminali — lavorano quasi sempre offline, su copie degli hash delle password, utilizzando strumenti specializzati come John the Ripper.

In questo articolo ti spiego come funziona davvero il cracking, perché è possibile, e soprattutto come difendersi.

🔍 Perché non si attacca la password direttamente?

I sistemi moderni non salvano le password in chiaro. Quando crei un account, la tua password viene trasformata in un hash, una stringa alfanumerica generata da una funzione matematica unidirezionale.

Esempio semplificato:

Codice

Password:  caffè123
Hash:      8f1d0a3c9b...

Il sistema salva solo l’hash. Quando effettui il login, la password che inserisci viene nuovamente trasformata in hash e confrontata con quella salvata.

👉 Questo significa che un attaccante non può “leggere” la password: deve indovinarla generando hash fino a trovare quello giusto.

🧰 Gli strumenti usati per il cracking offline

Uno dei software più noti è John the Ripper, utilizzato da:

• analisti di sicurezza
• penetration tester
• amministratori di sistema
• ricercatori
• criminal hacker

Il suo compito è semplice: prendere un file di hash e tentare di ricostruire le password originali.

Come ci riesce? Con tre tecniche principali.

⚙️ 1. Dictionary Attack

Il software prova password prese da liste di parole comuni:

• nomi
• date
• parole del dizionario
• combinazioni frequenti

È sorprendente quante persone usino password prevedibili come:

• password
• 123456
• qwerty
• estate2024

Per questo tipo di password, il cracking è quasi immediato.

⚙️ 2. Brute Force

Qui il software prova tutte le combinazioni possibili.

Esempio: una password di 6 caratteri minuscoli ha ${26}^6$ combinazioni.

Con una GPU moderna, questo significa pochi secondi.

Se però la password è lunga e complessa, i tempi esplodono.

⚙️ 3. Modalità “intelligenti”

Strumenti come John the Ripper includono:

• regole di trasformazione (es. “cambia la A con @”)
• combinazioni di parole
• pattern basati su comportamenti umani

Queste tecniche aumentano enormemente l’efficacia del cracking.

🛡️ Perché alcune password sono quasi impossibili da crackare

Non tutti gli hash sono uguali. Gli algoritmi moderni come:

• bcrypt
• scrypt
• Argon2

sono progettati per essere lenti e costosi da calcolare.

Questo significa che anche con hardware potente, un attaccante può provare pochissime password al secondo.

👉 Una password lunga + un algoritmo moderno = cracking quasi impossibile.

🧨 Il vero rischio: password deboli e riutilizzate

La maggior parte delle violazioni avviene perché:

• le password sono troppo corte
• vengono riutilizzate su più siti
• non si usa l’autenticazione a due fattori

Un singolo database compromesso può esporre migliaia di account.

🟢 Come proteggersi davvero

Ecco le difese più efficaci:

✔️ Usa password lunghe (almeno 14 caratteri)

Meglio ancora: passphrase.

Esempio: cavallo-luna-ponte-viola

✔️ Non riutilizzare mai la stessa password

Un password manager risolve il problema.

✔️ Attiva sempre l’autenticazione a due fattori

Rende inutile il cracking della password da solo.

✔️ Preferisci servizi che usano algoritmi moderni

bcrypt, scrypt e Argon2 sono lo standard.

🎯 Conclusione

Il cracking delle password non è magia: è matematica, potenza di calcolo e prevedibilità umana. Capire come funziona è fondamentale per proteggersi.

La buona notizia? Con password lunghe, un password manager e l’autenticazione a due fattori, diventi un bersaglio estremamente difficile