Programmi per togliere le password a file protetti

Contattami Rss
Lunedì, Marzo 10 2008 di David Terni
Leggi i commenti Stampa questo articolo

Solitamente definiamo una “cosa sicura” come inviolabile. Questo modo di pensare è sbagliato perché la sicurezza non vuol dire sempre “protetto” a 360 gradi. Molto spesso ci affidiamo alle password per tutelare i nostri dati. Queste chiavi ci infondono un senso di sicurezza perché abbiamo la convinzione che senza di loro non esista modo di poter aver accesso ai “fatti nostri”. Se le chiavi sono complesse; è ragionevole pensare che siamo in una botte di ferro. E se il programma che sta ha protezione di tutto il sistema non fosse altrettanto sicuro? Che cosa pensereste se vi dicessi che avere una password “robusta” non vi da alcuna sicurezza nel senso che intendete voi?

Vediamo un po’ di esempi pratici giusto per un quadro più chiaro:
Se ho accesso al vostro computer, posso con programmi appositi:

  • Trovare le password del sistema operativo, del bios e se proprio non ho tempo, le tolgo forzatamente. [tempo max richiesto dai 5 minuti a 1 ora, dipende dai tentativi]
  • Scovare le password digitate in un browser per accedere a siti internet [tempo 2-10 secondi]
  • Conoscere le password di caselle e-mail o chat [tempo 1 secondo]
  • Vedere le password nascoste dagli asterischi [tempo 1 secondo]

Se mi viene consegnato ad esempio un file in excel, access, pdf, zip protetti da password posso sproteggerli a mano o con programmi gratuiti facilissimi da trovare su internet [tempo 1secondo-100anni, dipende dalla tipologia del file e dall’algoritmo utilizzato per proteggerlo]. In base al tipo di file posso scavalcare la protezione o addirittura conoscere la password.

Trova Password

ATTENZIONE! L'articolo che hai letto e' stato scritto piu' di quattro mesi fa. Le informazioni presenti potrebbero dunque non essere aggiornate o non piu' valide!

Pagina precedente 1 2 Pagina successiva


Tags:, , , ,

Vuoi ricevere gratuitamente i nuovi articoli sull'informatica di David Terni nella tua casella e-mail?

Manda

*Riceverai un'E-mail di conferma prima di ricevere nuovi articoli.

Altri Articoli Che Ti Potrebbero Interessare:

Lunedì, Marzo 10 2008 di David Terni
Leggi i commenti Stampa questo articolo Condividi questa notizia
Termini & Copyright
Questo articolo é rilasciato sotto Licenza Creative Commons Licence

«Parla con Wasabi»

Apro questo spazio dedicato a voi, miei lettori che ogni giorno mi tempestate di domande.

Da oggi smetterò di rispondere in maniera privata. Considerato che molto spesso ricevo i medesimi quesiti esisterá questo nuovo spazio dove risponderó pubblicamente.

Le domande più interessanti e d'interesse pubblico verranno pubblicate su Sismi.info
Leggi come pormi una domanda o suggerirmi un argomento...

Ci sono 12 Commenti per questo articolo.

  1. Consiglio a tutti di creare una partizione da pochi mega e li dentro mettere i file delle password del browser (se usate opera il file è il wand.dat, quello di firefox si dovrebbe trovare all’interno della cartella delle preferenze utente).

    Fatto ciò criptare la partizione usando truecript con algoritmo AES.
    In questo modo la sicurezza aumenta notevoltmente, sopratutto se ci si infetta da un virus che oltre a fare danni cerca e decripta le password (e poi le invia a terzi).
    Ma se qualcuno viene a scoprire la master password di truecript siamo finiti.

    Non penso si possa salvare sul disco criptato le password di WLM (gtalk ecc) poichè vengono salvate nel registro. Qualcuno ha qualche idea per criptare anche quelle?

    Ciao David, bell’articolo come sempre

    utente kaliber

    10 Marzo, 2008 19:04

  2. …tanto per dirtene una: quando vivevo da solo e il mio PC veniva usato da tutti gli amici/conoscenti/passanti come un internet center, avevo installato un picclissimo keylogger di quelli invisibili.
    Ora, penso che sia ancora più facile metterne uno in un PC universitario o in un Internet point e raccogliere le password di tutti quelli che si vuole.

    Infatti, come hai scritto tu, la password è un davvero uno scoglio difficile da superare solo se non hai accesso al PC della vittima.

    P.s. l’ultima metodologia di cifratura e protezione da password di ZIP ma anche di PDF non mi pare tanto immediata da aprire…soprattutto se si superano i 10 caratteri ;)

    utente KK

    11 Marzo, 2008 08:52

  3. @Kaliber:
    come ho scritto prima, tutte le tue password possono andare in malora la prima volta che controlli la posta da un PC che non è tuo…

    utente KK

    11 Marzo, 2008 08:54

  4. Grazie per la precisazione: la lunghezza è un’altro parametro da sottolineare quando si crea una password robusta.

    Bè si hai ragione per gli zip oltre 8 caratteri [mi pare] l’hash della password contenuta all’interno del file non permette più di effettuare un attacco di tipo overflow o effettuare un bruteforce in tempi ragionevoli.

    Per i pdf invece è diverso. Fino a 128bit puoi tranquillamente fare un jump del check [basta un programma di debugging che ti mostri l'esadecimale o un programma specifico per sproteggere i pdf], superata tale soglia hai il medesimo problema con gli zip.

    utente David Terni

    11 Marzo, 2008 09:58

  5. Ciao DAvid Terni, mi è molto piaciuto il blog e sopratutto come esponi gli argomenti.
     
    Hotrovato abbastanza esaustivo l’argomento di cui si è discusso e ciò ha catturato la mia attenzione su un problema che mi tocca da vicino.
    Io mi trovo da qualche anno a combattere con un file zippato di cui ho perso la password e per molto tempo mi sono dedicato non solo a cercarla, visto l’importanza che ha per me di quel file, ma anche nel cercare di imparare come poter decriptare una password di qualsiasi file sia pdf, excel ecc… ramazzando i vari software nella rete che un po ti aiutano.
    Purtroppo non sono riuscito ancora a decriptare la password del mio file zippato, mentre ho avuto qualche successo per quanto riguardano altri tipi di file.
    Vista la tua enorme competenza  mi farebbe piacere tu mi potessi dare qualche consiglio sia circa altri software meno conosciuti nella rete  che fanno al caso mio e sia sul come poter decriptare le password in quanto mi piacerebbe imparare quanto più possibile su tale materia  e chissà un giorno potrei essere io a dare una mano a chi me lo dovesse chedere.
    Aspetto una tua risposta o di chiunque mi possa dare qualche consiglio….Grazie !!!

    utente Antonio

    26 Maggio, 2008 20:48

  6. Purtroppo l’unico consiglio è anche l’unica soluzione che già conosci. BruteForce. Se i vari tentativi di sfruttare bug nel codice non hanno avuto esito positivo non cìè via d’uscita. Considerato che sei tu ad aver messo la password dovresti esser in grado di ridurre il range delle possibilità dei caratteri utilizzati in concomitanza con la lunghezza.

    Non c’è soluzione, anche in ambiti forensics siamo costretti al bruteforce se con altre tecniche rimbalziamo… anche in questo caso se il soggetto sapeva il fatto suo è quasi impossibile il recupero per via dell’alta complessità della password.

    Programmi? qualunque purche tu lo tenga li 24 su 24 a compiere tutte le possibili combinazioni.

    utente David Terni

    26 Maggio, 2008 22:07

  7. Ti ringrazio per la risposta anche se me lo sentivo, infatti ho installato un programma che da circa tre mesi sforna password e ancora mi dice che presumibilmente i tempi saranno di oltre 1 anno.
    Io ho fiduciosa pazienza e nel frattempo spero che possa uscire qualche miracoloso software che mi sblocca il file.
    Saluti
     
     

    utente Antonio

    27 Maggio, 2008 10:49

  8. ” … Esistono un sacco di software a pagamento molto completi, ma preferisco non citarli per ovvi motivi …”

    hai fatto 30, fai 31 no? :)

    utente battiz

    16 Settembre, 2008 07:05

  9. @battiz se fai bene attenzione agli articoli che scrivo, avrò citato solo un paio di volte software a pagamento. é la mia linea editoriale citare solo e il più possibile programmi gratuiti perchè i software che si trovano per Win sono troppo costosi e non sempre funzionano come dovrebbero, mettendo me in una situazione difficile nei confronti del lettore. Esistono alternative gratuite? Si, allora usiamole.

    utente David Terni

    16 Settembre, 2008 07:47

  10. david nn sono molto d’accordo con te …
    Dare un’informazione completa credo sia una buona cosa …
    Dare un’informazione parziale e lasciare gli utenti piu’ “esperti” a metà credo sia abbastanza irritante.
    Non credi?
    Cmq. se questa è la tua linea editoriale la rispetto e ti faccio i complimenti per tutto l’ottimo lavoro che stai facendo su questo blog ;)

    utente battiz

    24 Settembre, 2008 08:57

  11. @battiz: bè vedi, c’è da considerare che internet è una fonte d’informazioni per chiunque. Il problema che questo comporta che chiunque può usare quello che legge e se non ha la testa per usarle coscientemente può provocar danni. Io non ho segreti che tengo solo per me che un qualsiasi motore di ricerca non metta già a disposizione con l’ausilio di 3 semplici parole chiave o che i professionisti del settore già non conoscano e usino da tempo, poi non so… io la vedo così.

    utente David Terni

    24 Settembre, 2008 21:18

  12. Links della settimana (34) at Paolo Gatti’s web corner
    utente pingback

    17 Marzo, 2008 08:57

Scrivi un commento

In media nell'arco di 24ore modero tutti i commenti. Tuttavia...
  • Non fornisco assistenza per domande inerenti la configurazione di un particolare programma.
  • I messaggi contenenti frasi offensive, fuori tema, di propaganda o futili saranno modificati o non pubblicati.
  • Accetto le critiche, ma quelle personali mandatele via email
  • E' stato implementato un sistema di filtraggio automatico, per cui verranno cancellati in maniera automatizzata e senza recupero tutti quei commenti che conterranno:
    1. Parole abbreviate come: cmq, nn, qlc
    2. Parole volgari, compresi alcuni intercalari.
    3. Link anche presunti di Spam
    4. Email fasulle o temporanee

N.B. I campi in rosso sono obbligatori