Analizzato il furto delle oltre 10.000 password di Hotmail

Un analista di Acunetix ha condotto un’interessante analisi sull’attacco condotto pochi giorni fa contro Windows Live Hotmail, configuratosi poi nel furto di oltre 10.000 password, rese pubbliche su PasteBin.com.

Calin Bodgan, è questo il nome dell’analista, è riuscito a scaricare dal suddetto sito l’intera lista di password rubate prima che venissero oscurate, e ha così potuto condurre su di esse dei test statistici che ci fanno intuire come sia stata possibile una simile violazione della privacy degli utenti:

• delle 10.028 password trafugate, soltanto il 90% erano password uniche, il che significa che il 10%rimanente era costituito da doppioni, e quindi da password diuso comune;
• la password più lunga era di 30 caratteri(tutti alfabetici), mentre quella più corta di un solo carattere, con una media di 8 caratteri per password;
• le password più comuni erano sequenze numeriche del tipo “123456” o nomi propri riconducibili alle lingue ispaniche (o a quella italiana);
• per quanto riguarda la complessità delle password, solo una piccola frazione (il 6% circa) contenevano sia caratteri alfanumerici, sia caratteri speciali.

Si suppone quindi che gran parte delle password siano state rubate con tecniche di phishing; per molte altre invece è possibile che si sia ricorsi alla crittoanalisi statistica (magari facendo riferimento ad un vocabolario spagnolo una volta avuto il sentore che molte delle password fossero scritte in quella lingua).

Per le serie numeriche, come per le sequenze prettamente alfabetiche, non deve essere stato difficile condurre attachi a forza bruta, poiché per un computer è relativamente semplice provare tutte le possibili combinazioni su un set di caratteri così limitato.

Da questi dati emerge una certa responsabilità degli utenti nello scegliere password non adeguate; già da tempo Hotmail vincola gli utenti in fase di registrazione a scegliere password con un livello minimo di sicurezza, vecchi account potrebbero però aver conservato le password originarie, più semplici, senza che queste siano mai state cambiate dagli utenti, che spesso ignorano il loro coinvolgimento di fronte ad un problema di sicurezza informatica.