Google combatte il phishing con Chrome

Non importa quanto sofisticata sia la sicurezza dei vostri computer, il rischio più grande è sempre lo stesso: gli utenti che cliccando su link errati possano inserire le proprie password in siti web fraudolenti.

Il phishing resta un problema difficile da risolvere, ma Google ha una nuova idea su come combatterlo. Ha infatti rilasciato una nuova estensione per il suo browser che consente di avvisare in anticipo i navigatori, che stanno per inserire le proprie credenziali in un sito che non è quello che realmente si aspettano di utilizzare.

L’estensione si prefigge di essere utile a contrastare il fenomeno del phishing e lo fa confrontando una versione hash della password con quella attesa dal sito.
La codifica hash prende come input una stringa di lunghezza variabile (la tua password) e ne restituisce un output, noto anche come MD5 Checksum. Da un hash così ottenuto non è possibile risalire a ciò che l’ha originato.

Hashing e crittografia sono modi diversi di proteggere le informazioni. La crittografia consente di ripristinare il testo originale decodificandolo. L’hashing invece trasforma il testo in una stringa che non può essere decifrata. E’ chiaro che differenti password potrebbero dar luogo alla stessa stringa hash, ma non c’è modo immediato di risalire dalla stringa hash al testo che l’ha generata.

Password Alert potrebbe anche essere attivato, come baluardo di sicurezza, per un intero dominio, per quelle realtà aziendali che utilizzano Google App For Work, così che utenti ed amministratori vengano avvisati da alert di sicurezza in caso di tentativi di phishing.

“Il phishing dovrebbe essere una preoccupazione reale per tutti – giornalisti, attivisti, aziende o individui”, dice Justin Kosslyn, un product manager di Google Ideas. “Si tratta di attuare una linea di comportamento uniforme per  la propria tranquillità e per difendersi da questi subdoli attacchi”.

L’unico limite di Password Alert è che agisce solo dopo che la password è stata già inserita ed inviata al sito su cui l’utente la immette. In effetti l’avviso di aver compiuto quest’operazione su un sito fraudolento arriverà comunque immediatamente. E questo è il vantaggio che l’estensione concede all’utente: guadagnare secondi preziosi per procedere ad un’immediato cambio della propria password, prima che l’hacker che l’ha catturata la possa utilizzare.

Il codice sorgente con cui l’estensione è stata sviluppata è open source, pertanto potrebbe essere modificato per adattarsi anche a realtà non legate al browser Chrome.

Ricordiamo che esistono diversi siti internet che contengono database enormi di stringhe hash con cui si possono ottenere un numero limitato di corrispondenti “parole” in chiaro, da cui quegli hash potrebbero essere stati generati. Per cui se un hacker intercettasse anche solo un hash avrebbe ottime possibilità di indovinare la password realmente corrispondente, anche con pochi tentativi.
Il sito md5online.org contiene ad esempio quasi 400 miliardi di termini fra cui effettuare una ricerca di hash per decifrare una password.

Per impedire questo tipo di attacco, che si definisce “Rainbow Table”, nella generazione degli hash è stato introdotto un espediente: il salt (il sale). In crittografia, un “sale” è una sequenza casuale di bit, che è utilizzata insieme ad una password come input ad una funzione unidirezionale (quella di hashing), il cui output è conservato in corrispondenza di quella password, per attivare l’accesso ad una risorsa. Ogni bit “di sale” aggiunto alla stringa hash raddoppia il tempo di calcolo per la decifratura, e ne rende più complicato, se non inutile il confronto con le tabelle dei dizionari precostituiti nei database disponibili in rete. Inoltre la sequenza di bit casuali, che costituiscono il salt, sono conservati in database differenti, per renderne più complesso il furto con quelli delle password. Pertanto un hacker dovrebbe confrontare l’hash con il dizionario e quindi, con grande potenza di calcolo, stimare tutte le probabili combinazioni di bit che potrebbero essere ipoteticamente essere state aggiunte per confondere la stringa originaria [cfr. https://it.wikipedia.org/wiki/Sale_(crittografia) ].

In conslusione, per aumentare la propria sicurezza su internet, ognuno dovrebbe tener presente, che con un computer di medie capacità di elaborazione, ci vuole un minuto per processare circa 30.000.000 di confronti in un dizionario per risalire ad una password. Considerando che il 36% degli utenti usa per password, parole già esistenti nel solo dizionario della lingua italiana, che il 67% utilizza la stessa password su più siti e servizi, sarebbe più opportuno per tutti cambiare di frequente la propria password, utilizzarne di più lunghe di 10 caratteri, con maiuscole, minuscole e caratteri speciali.