Snooping
Il Social Engineering non è l’unico modo per compromettere un sistema di password.
Un altro punto di vulnerabilità è la connessione tra l’utente e il sistema.
Se il servizio si trova sullo stesso computer del sistema, è molto probabile che la comunicazione avvenga tutta in memoria e risulterà difficile da interrompere, ma un accesso remoto è soggetto a snooping di rete, ovvero un tipo di intrusione che permette di intercettare dati e informazioni trasmesse tra due o più stazioni remote.
La crittografia dei messaggi scambiati nella convalida e nella creazione della password può impedire lo snooping della rete.
La protezione dei socket e l’HTTP sicuro (HTTPS) sono metodi comuni, sebbene alcune applicazioni meno recenti abbiano sviluppato i propri metodi di trasmissione sicura.
Leggere il traffico di rete non crittografato è banale per gli hacker. L’immissione di una password in un sito Web che non utilizza la crittografia è un invito aperto per gli attaccanti interessati alle nostre password.
La prima versione dello standard HTTP utilizza l’autenticazione di base.
Il metodo è facile da implementare, ma fortemente insicuro perché non protegge l’ID utente e le password dallo snooping in transito.
I dati infatti vengono inviati in chiaro sulla rete e se un attaccante riesce ad intercettare la comunicazione, in pochi minuti sarà a conoscenza dell’ID e della password dell’utente legittimo.
Un metodo più recente, l’autenticazione digest, utilizza l’hash crittografico.
Poiché l’autenticazione digest è un po’ più difficile da implementare, alcuni siti Web utilizzano ancora l’autenticazione di base della prima versione di HTTP.
L’autenticazione digest non è così sicura come l’utilizzo di un’altra alternativa di sicurezza Web, Secure HTTP (HTTPS).
HTTPS cripta l’intero messaggio, nonché la password e l’ID utente e verifica inoltre che il messaggio sia inviato al server previsto.
Quando i computer e le reti avevano prestazioni più basse e limitate, HTTPS era notevolmente più lento di HTTP.
I siti Web tendevano a utilizzare HTTPS solo durante lo scambio di credenziali. Questa pratica è diminuita in quanto l’overhead HTTPS è diventato meno evidente, e ad oggi le prestazioni in termini di caricamento e velocità dei siti web sono pressoché equivalenti sia per HTTPS che per HTTP.
Siti come Google e Facebook utilizzano HTTPS per tutte le comunicazioni sul Web; infatti, HTTPS è diventato il modo più comune per nascondere le password dagli hacker e proteggere le comunicazioni sul Web.
