Bastano 6,5 minuti per hackerare un iPhone con password da 4 caratteri

Abbiamo già parlato di GrayKey lo scorso mese, ma in queste ore la piccola scatoletta capace di irrompere nelle difese degli iPhone è tornata a far parlare di sé. Se a marzo si pensava che lo strumento fosse capace di sbloccare iPhone con password a quattro caratteri in poche ore, e a 6 caratteri in alcuni giorni, adesso sembra che la realtà sia molto meno rosea di quanto preventivato.

Matthew Green, assistente e crittografo al John Hopkins Information Security Institute, ha recentemente affermato che con un exploit che disabilita le protezioni integrate su Apple sui tentativi di manomissione del codice, una password da 4 caratteri è violabile in soli sei minuti e mezzo, mentre le più sicure da 6 caratteri possono essere aggirate in 11 ore. Si tratta di stime medie, ma alla peggio le tempistiche aumentano rispettivamente a 13 minuti e 22 ore. L'esperto ha realizzato una lista molto interessante, che dovrebbe far riflettere ogni utente.

Per "crackare" le password dei Melafonini sono necessarie le seguenti tempistiche, in relazione alla tipologia di password adoperata:

• Password a 4 caratteri: richiesti 13 minuti nella peggiore delle ipotesi, 6,5 minuti in media
• Password a 6 caratteri: richieste 22,2 ore nella peggiore delle ipotesi, 11,1 minuti in media
• Password a 8 caratteri: richiesti 92,5 giorni nella peggiore delle ipotesi, 46 giorni in media
• Password a 10 caratteri: richiesti 9259 giorni nella peggiore delle ipotesi, 4629 giorni in media

È chiaro che si tratta di stime che non possono essere per definizione precise in via assoluta, tuttavia con buona approssimazione possiamo intuire la mole di lavoro (e di tempo) richiesta per gli hacker con password di diverso tipo. Apple ha un'opzione integrata che ripristina i dati su un iPhone dopo 10 tentativi di accesso falliti, e ci sono ritardi automatici che avvengono dopo che il codice è stato sbagliato per più di cinque volte, tuttavia pare che le scatolette come GrayKey riescano ad aggirare queste protezioni e inserire infinite password per l'accesso.

Non è chiaro se GrayKey sia capace di raggiungere le velocità promesse da Green, tuttavia anche con una password a sei cifre è necessario, alla peggio, un giorno intero di prove per scardinare le difese del melafonino. In contrasto, con una password da 8 cifre è richiesto almeno più di un mese, mentre la password da 10 cifre richiede fino ad anche oltre 20 anni per essere violata. Non tutti, però, utilizzano le password più complesse. Anzi, sarebbe più realistico dire che in molti scelgono la password da 4 caratteri per comodità, da inserire velocemente ad ogni sblocco.

"La gente dovrebbe utilizzare password alfanumeriche non suscettibili ad attacchi di questo tipo, e che siano lunghe almeno 7 caratteri con una serie di lettere maiuscole, minuscole e numeri", sono state le parole di Ryan Duff, ricercatore citato da Motherboard. "È inoltre raccomandato aggiungere anche simboli, e più è complicata e lunga la password, meglio è".