Come hackerare YouTube

La risposta breve è, beh, non si può.

Perciò, supponiamo che vogliate ottenere la password di un certo account, che è memorizzata in un grande database insieme alle password e alle informazioni di altri account.

Perciò, prima dovreste entrare nel database, che sarebbe già protetto con una sicurezza pesante.

Poi, anche se riusciste ad entrare nel database, e otteneste le password e le informazioni che volevate, le informazioni ottenute sarebbero letteralmente inutili e le password sarebbero ancora più inutili, poiché in questi database le password non vengono memorizzate così come sono, ma viene memorizzato l'hash della password.

Per capire perché non si può entrare in YouTube e in altre grandi strutture, bisogna prima capire cos'è un hash.

Un hash è fondamentalmente una forma criptata di una password, solo che non può essere decriptata. Quindi un hash agisce fondamentalmente come una macchina per distruggere. Si mette la password attraverso la funzione hash, e ciò che si ottiene è fondamentalmente una parola senza senso, che non può essere annullata.

quindi supponiamo che prendiate 'Hello There' e lo mettiate in una funzione hash, quello che otterrete è 'abf5dacd019d2229174f1daa9e62852554ab1b955fe6ae6bbbb214bab611f6f5′

o qualcosa del genere (proprio come quando mettete della carta in un trituratore tutto quello che ottenete sono brandelli di carta che non hanno utilità).

L'hash di una parola sarà sempre lo stesso, e anche la lunghezza dell'hash sarà sempre la stessa, quindi anche se si digita una parola di 5 lettere, o anche di 10, si otterrà sempre lo stesso numero di lettere come output. e anche se si cambia una cifra della parola, l'output dell'hash che esce sarà totalmente diverso. La maggior parte delle funzioni hash moderne sono resistenti al 99% alle collisioni hash, il che significa che l'hash di una parola non coinciderà quasi mai con quello di un'altra parola.

Quindi, quello che fa YouTube, è quando accedi e inserisci la tua password, controlla se l'hash delle parole che hai digitato per la password corrisponde all'hash della password che hai impostato per un certo account e che è memorizzato nel database. Se non corrisponde, significa che la password inserita non è corretta e viceversa.

Cosa succede quando si imposta una password considerata "debole"?

Supponiamo che un hacker riesca a rubare le password con hash memorizzate in un database, allora quello che probabilmente farà sarà eseguire ogni hash attraverso una tabella arcobaleno. Una tabella arcobaleno è una collezione di hash di password considerate 'deboli', come 'hello123′, '12345', 'qwerty', e così via. Quindi, quando si inserisce un hash in una funzione di tabella arcobaleno, se la password che viene hashata è molto debole e comune, allora l'hash della password sarà probabilmente presente nella tabella arcobaleno, e l'hacker arriverà a conoscere la vostra password. Tuttavia, al giorno d'oggi le grandi aziende come YouTube usano anche una tecnica chiamata 'salting'. Quindi, ciò che salting significa fondamentalmente è che quando impostate la vostra password, la tecnica di salting aggiunge un mucchio di diversi gibberish casuali tra i caratteri della vostra password,

Quindi se la vostra password è "TestPassword123"

allora l'algoritmo di salting la cambierebbe in-

"Tehj9sthGPassYN8Twordwiu12sh3"

Quindi, come avete visto, ha aggiunto un mucchio di parole incomprensibili che non hanno nulla a che fare con la tua password, il che cambia completamente l'hash della password e rende completamente impossibile trovare la vera password. E ogni azienda ha la propria funzione di salting che è segreta, il che rende tutto ancora più difficile.

Così come potete vedere, craccare la password di un account non è un gioco da ragazzi.