Il cracking delle password è un termine generico che descrive un gruppo di tecniche utilizzate per ottenere la password di un sistema di dati. Il cracking delle password si riferisce specificamente ai processi mediante i quali si ottiene una password dai dati esistenti; il semplice indurre un individuo a rinunciare a una password, ad esempio attraverso il phishing, non è considerato violazione di password. Tuttavia, indovinare una password in base alla conoscenza preesistente del proprietario del sistema informatico è considerato cracking, poiché la password non è nota in anticipo. La maggior parte dei metodi per ottenere le password, tuttavia, implica ripetuti tentativi di indovinare o sfruttare i punti deboli della sicurezza nel sistema informatico.
Esistono diversi metodi per indovinare la password di un individuo. Si può, ad esempio, utilizzare la conoscenza della persona di cui si sta tentando di violare il sistema per prevedere possibili password. I nomi di persone care o animali domestici, date significative, numeri di telefono, luoghi significativi e nomi utente comuni sono tutte password famose e facilmente indovinabili.
Un altro metodo di cracking delle password basato su ipotesi è noto come attacco del dizionario. Molte persone usano password che possono essere trovate in un dizionario o parole seguite da un singolo numero. Molti programmi di cracking tentano categoricamente di inserire parole del dizionario e combinazioni di numeri per craccare una password. Gli attacchi con dizionario sono generalmente inutili contro password complesse, ma tendono ad essere molto efficaci contro qualsiasi password composta da una sola parola.
Un attacco di forza bruta è un altro metodo di cracking delle password che è significativamente più potente di un attacco a dizionario. Un programma di attacco a forza bruta tenterà ogni possibile combinazione di caratteri fino a quando non verrà impostata la password corretta. Questo richiede molto tempo in quanto vi sono innumerevoli possibili combinazioni di lettere, numeri e simboli che un individuo potrebbe utilizzare per una password. Poiché i processori dei computer diventano sempre più potenti, tuttavia, è un metodo sempre più plausibile per decifrare le password.
Altri metodi di cracking delle password comportano il cracking della funzione di hash crittografica del sistema informatico. Una funzione hash crittografica è una procedura che converte una password in una stringa di bit di dimensioni uniformi. Se l’hash può essere violato, potrebbe essere possibile decodificare la password. La maggior parte delle funzioni di hash, tuttavia, sono altamente complesse e non possono essere violate senza tempo e sforzi significativi.
Mentre un esperto di sicurezza informatica esperto può decifrare molte varietà di password, ci sono dei passaggi che si possono adottare per evitare tentativi di decifrazione delle password. Le password complesse sono sempre migliori di quelle semplici. Le password che utilizzano lettere maiuscole e minuscole, numeri e simboli sono molto più difficili da decifrare rispetto alle password che utilizzano solo una o due di queste opzioni. Un attacco di forza bruta dovrebbe lavorare su molte più possibilità prima di poter trovare la password corretta.