Esistono strumenti altamente evoluti che consentono di recuperare password , utilizzabile anche come password cracker.
La grande velocità di questi software risiede nella capacità di utilizzare API sulle GPU . Queste API fornite dai produttori delle schede grafiche come Nvidia .
Si lavora con CUDA (acronimo di Compute Unified Device Architecture)
e tramite l’ambiente di sviluppo per CUDA, i programmatori di software possono scrivere applicazioni capaci di eseguire calcolo parallelo sulle GPU delle schede video NVIDIA.
Nelle applicazioni con accelerazione GPU, la parte sequenziale del carico di lavoro viene eseguita sulla CPU, ottimizzata per prestazioni a thread singolo, mentre la parte dell’applicazione ad alta intensità di calcolo viene eseguita su migliaia di core GPU in parallelo. Quando si utilizza CUDA, gli sviluppatori programmano in linguaggi popolari come C, C ++, Fortran, Python e MATLAB ed esprimono il parallelismo attraverso estensioni sotto forma di poche parole chiave di base.
Si può utilizzare anche OpenCL (Open Computer Language) ( implementate da Kronos.org)uno standard impiegato da AMD/ATI
Esistono strumenti, come hashcat, in grado di raggiungere nelle tecniche di password cracking livelli pari a 100 GH (Giga Hash) , sfruttando in modo idoneo le GPU rispetto alle CPu per il calcolo sequenziale.
- Hashcat è una utility di recupero password più veloce e avanzata al mondo
- Hashcat utils : Piccole utility per il cracking avanzato delle password
con queste utility si possono implementare diverse tipologie di attacchi :
- Dictionary Attack o “modalità diretta”, è una modalità di attacco molto semplice. È anche noto come “attacco con elenchi di parole”.
- Combinator Attack : in cui si combinano parole provenienti da più liste;
- Brute force attack e mask Attack : provando tutti i caratteri da determinati set di caratteri, per posizione
- Hybrid attack: combinando elenchi di parole + maschere e maschere + elenchi di parole
- Rules based Attack: applicare regole a parole da elenchi di parole; si combina con attacchi basati su elenchi di parole
- Toggle-case Attack : alternanza tra maiuscole e minuscole; ora compiuto con le regole
Questa sono delle tecniche che si possono impiegare nel reperire informazioni legate agli accessi di un utente. Si può evitare di subire questi attacchi evitando di trasmettere utenze e password? La risposta è si , impiegando una metodologia che richiede l’ingresso non basata su utenza e password, ma solo attraverso un accreditamento biometrico , ovvero un riconoscimento con QR Code associato ad esempio ad un codice ad una mail che viene scansionato e riconosciuto solo dall’identità biometricamente riconosciuta da My-ID. My-ID ( https://bit.ly/My-ID_la_chiave_sei_tu) potrebbe essere una risposta a questo tipo di attacco.
Il sistema prevede l’uso del riconoscimento biometrico Multi fattore ( un SSO) in cui si esclude l’uso di una password, di un pin, di un token ( https://bit.ly/My-ID_passwordless) : la formula per accedere al sistema prevede il riconoscimento di più fattori biometrici ( https://bit.ly/My-IDCheckIdentity).Pertanto My-ID è un innovativo metodo di accesso ai sistemi che non prevede la digitazione di informazioni ( https://bit.ly/My-ID_Biometric_Login), una piattaforma applicabile ai sistemi IT per evitare il furto di identità.