Quanto tempo serve per bucare una password? Se la risposta che hai in mente si misura in giorni, settimane o mesi, preparati a ricrederti. Secondo l’ultima analisi di Hive Systems, azienda statunitense specializzata in cybersecurity, una password di otto caratteri può essere violata in appena 12 minuti. Sì, hai letto bene: dodici minuti. Il tempo di un caffè al bar, di una pausa sigaretta, di scrollare distrattamente il feed di Instagram. E parliamo di password teoricamente robuste, quelle che includono lettere maiuscole, minuscole, numeri e perfino quei simboli speciali che i sistemi ci obbligano ad aggiungere. La ricerca di Hive Systems, che dal 2020 monitora l’evoluzione della robustezza delle password, non lascia spazio a illusioni. Gli esperti hanno costruito un modello che tiene conto di molteplici variabili: lo stato dell’hardware disponibile agli attaccanti, gli sviluppi del software di cracking, il numero e il tipo di caratteri utilizzati nella password, l’algoritmo di hashing adottato dal sistema vittima (il metodo crittografico che protegge le informazioni) e, naturalmente, le risorse a disposizione di chi sferra l’attacco.
Il punto è semplice: mentre noi utenti continuiamo a credere che aggiungere un punto esclamativo o sostituire la a con una @ ci renda invulnerabili, l’hardware ha fatto passi da gigante. Nel 2018, una scheda grafica RTX 2080 di Nvidia poteva calcolare circa 37 miliardi di hash al secondo. Nel 2020, con l’arrivo della RTX 3090, si era saliti a 70 miliardi. Oggi, la RTX 4090 di ultima generazione raggiunge la sbalorditiva cifra di 164 miliardi di hash al secondo. Un miglioramento esponenziale ottenuto nell’arco di appena tre anni. Tradotto in termini concreti: ciò che nel 2020 richiedeva quattro ore di lavoro a un hacker dotato di una RTX 2080, oggi può essere completato in 12 minuti con una RTX 4090. E stiamo parlando di un attaccante con budget limitato, uno che lavora da casa con una scheda grafica di fascia alta acquistabile sul mercato. Se invece consideriamo un cybercriminale con risorse significative, in grado di sfruttare la potenza di calcolo del cloud, i tempi si riducono ulteriormente. Secondo Hive Systems, utilizzando appena 12 GPU Nvidia A100 in cloud, una password di otto caratteri con hash MD5 cade in meno di 12 minuti.
Ma c’è un elemento ancora più inquietante che emerge dall’analisi: l’intelligenza artificiale. Hive Systems ha spinto il ragionamento all’estremo, ipotizzando cosa potrebbe fare un attaccante che disponesse dell’intera infrastruttura utilizzata per addestrare ChatGPT. Secondo le dichiarazioni di Microsoft, il supercomputer cloud basato su Azure impiegato per il training del celebre chatbot di OpenAI conta su 10.000 GPU Nvidia A100. Con una simile potenza di calcolo, anche password di 10 o 11 caratteri diventano vulnerabili. Perfino codici di 12 caratteri possono essere violati in meno di otto mesi. L’intelligenza artificiale, dunque, non semplifica solo attività di phishing o la creazione di malware sofisticati, ma abbassa drasticamente la soglia di sicurezza delle nostre credenziali. ChatGPT è in grado di generare centinaia di righe di codice in pochi minuti, rendendo il processo di cracking sempre più veloce ed efficiente. E se la potenza di calcolo dell’AI viene messa al servizio di attività criminali, le conseguenze sono facilmente immaginabili.
Allora, qual è la soluzione? Secondo gli analisti di Hive Systems, l’unica difesa ragionevolmente solida è adottare password di almeno 15 caratteri, che includano rappresentanti di ogni categoria: minuscole, maiuscole, numeri e simboli speciali. Solo in questo caso i tempi necessari per un attacco di forza bruta si allungano abbastanza da scoraggiare anche l’hacker più determinato. Al di sotto di questa soglia, la protezione è illusoria. Naturalmente, questi calcoli si riferiscono a condizioni teoriche ideali, ovvero situazioni in cui l’attaccante dispone già dell’hash della password da violare. Non significa che ogni nostra credenziale sia costantemente sotto attacco o che basti premere un pulsante per accedere a qualunque account. Tuttavia, il dato che emerge con chiarezza è che una password di otto caratteri, anche se costruita seguendo tutte le raccomandazioni standard, non garantisce più un’adeguata protezione.
La Hive Systems Password Table, l’infografica colorata che sintetizza i risultati della ricerca, mostra in modo visivamente efficace la relativa forza di una password crittografata contro un tentativo di cracking. I colori passano dal verde rassicurante delle password lunghe e complesse al rosso allarmante di quelle brevi e semplici. E la zona rossa si è allargata considerevolmente negli ultimi anni. Viviamo in un’epoca in cui la tecnologia evolve a una velocità che lascia indietro le nostre abitudini di sicurezza. Mentre continuiamo a riciclare le stesse password su decine di servizi diversi, magari con piccole variazioni, gli strumenti a disposizione dei cybercriminali diventano sempre più potenti, accessibili ed economici. L’hardware avanza, il software migliora, l’intelligenza artificiale si diffonde. E le nostre password di otto caratteri, quelle che credevamo inespugnabili, sono ormai fragili come un guscio d’uovo.
