Craccare una password con la CPU

Ci sono una miriade di programmi da scegliere per il recupero delle password, ma due molto popolari sono Advanced Archive Password Recovery e Visual Zip Password Recovery Processor. Quando abbiamo perso la password del nostro archivio WinZip (sette caratteri), siamo stati in grado di recuperarla in 20 minuti.

Questo ci ha incuriositi. Quanto era stato veloce il nostro computer nel ricercare le password? Che cosa sarebbe successo se avessimo usato un metodo di codifica più resistente come l’AES-128? E, cosa più importante, tutti i nostri archivi protetti da password sono realmente scardinabili in poco più di 20 minuti da qualcuno che non dovrebbe farlo?

Velocità Attacco Brute-Force Password al secondo	Advanced Archive Password Recovery	Visual Zip Password Recovery Processor
Compression: None Encryption: Zip 2.0	28 357 311	20 943 157
Compression: None Encryption: AES-128	9715	fail
Compression: None Encryption: AES-256	9713	fail
Compression: Zip Encryption: Zip 2.0	28 492 733	20 888 938
Compression: Zip Encryption: AES-128	9733	fail
Compression: Zip Encryption: AES-256	9760	fail
Compression: RAR Store Encryption: AES-128	213	–
Compression: RAR Store Encryption: AES-128, File Names	202	–
Compression: RAR Normal Encryption: AES-128	213	–
Compression: RAR Normal Encryption: AES-128, File Names	202	–

Come potete notare la compressione ha un impatto ridotto sulla velocità alla quale potete provare a inserire le password, ma la debolezza più grande è nel vecchio schema di codifica Zip 2.0. Il risultato è che una password a cinque caratteri si può rivelare in pochi secondi, dato che potete macinare 28 milioni di password al secondo con un Core i5 2500K.

Visual Zip ha trovato la password corretta nel metodo di codifica Zip 2.0, ma a causa di un problema software non è riuscito a rilevare password di qualsiasi lunghezza codificate in AES 128.

Anche provando 28 milioni di password al secondo, le possibilità d’indovinare quella corretta diventano sempre più scarse se passate a password più lunghe e con un insieme di caratteri più ampio. Potrebbe volerci anche un mese per recuperare una password, un’ipotesi ancora accettabile in relazione all’importanza dei dati da recuperare; tuttavia 700 milioni di anni sono un tempo troppo lungo anche per il più paziente di voi.

Tempo totale di ricerca analizzando 28 milioni di password al secondo	Password fra 1 e 4 caratteri	Password fra 1 e 6 caratteri	Password fra 1 e 8 caratteri	Password fra 1 e 12 caratteri
Minuscole	istantanea	11 secondi	2 ore	112 anni
Minuscole e Maiuscole	istantanea	12 minuti	22 giorni	451 345 anni
Tutti i caratteri ASCII	3 secondi	7 ore	8 anni	701 193 345 anni

Advanced Archive Password Recovery permette di mettere in pausa e salvare la posizione della vostra ricerca. E se avete più computer a disposizione potete ridurre il tempo distribuendo il carico di lavoro.