Vídeo: Como hackers quebram as senhas de vazamentos? - O Caso Vakinha (Novembro 2024)
Uma das coisas frustrantes sobre segurança da informação é o fato de que, embora digamos repetidamente aos usuários para selecionar senhas fortes e complexas, elas não o fazem. Apesar de saber disso, ainda é lamentável que, mesmo com o aumento de violações de dados, avisos e lembretes frequentes e a infinidade de gerenciadores de senhas disponíveis, senhas como '123456', 'iloveyou' e 'macaco' ainda apareçam no 100 principais senhas mais usadas.
No mês passado, a Adobe divulgou que os invasores acessaram senhas de usuários ativos da Adobe, bem como o código-fonte de produtos como o Cold Fusion. Os atacantes também publicaram um arquivo contendo quase 150 milhões de senhas criptografadas.
Quase dois milhões de usuários da Adobe tinham '123456' como senha, encontrou Jeremi Gosney, especialista em segurança e fundador do Stricture Consulting Group. Ele analisou a lista e identificou as senhas mais usadas no fim de semana. Sua análise abrangeu cerca de seis milhões de senhas, ou menos de 5% da lista exposta.
"Outras senhas populares incluem '123456789' '' senha '' adobe123 '' '12345678' 'qwerty' '' 1234567 '' 111111 '' 'photoshop' e '123123' ', disse Gosney.
Criptografia insuficiente
Embora a Adobe tenha criptografado as senhas, parece que a empresa usou uma única chave de criptografia para todas as senhas. As senhas criptografadas pela Adobe usando 3DES, o que é bom, mas no modo ECB (Electronic Code Book), que é um mecanismo menos seguro. O BCE é conhecido por vazar informações sobre sua chave, como gerar o mesmo bloco de texto cifrado para uma sequência específica de caracteres.
Isso significa que se alguém puder descobrir a chave, todas as senhas poderão ser descriptografadas.
Gosney não possui a chave usada para criptografar as senhas, por isso é impossível dizer que a lista é totalmente precisa. Mesmo assim, ele disse que estava "bastante confiante" com a lista.
Não é surpreendente
Vale ressaltar que a análise de senhas expostas de violações passadas, como Yahoo, Gawker e outras, obteve resultados semelhantes. É claro que as senhas comuns são bastante consistentes entre os usuários online. É um pouco animador considerar que essas senhas inseguras representam menos de 5%. Mas dois milhões de contas usando a mesma senha são más notícias, não importa como você as veja.
A lista dos cinco principais da Gawker, há três anos, incluía '123456', 'senha', '12345678', 'lifehack' e 'qwerty'.
O que fazer agora
Se você ainda não alterou sua senha da Adobe, faça-o agora e selecione uma senha forte e exclusiva. Não use uma senha existente na lista de Gosney. De fato, por que você não examina os 100 principais e garante que não está usando nenhum deles para nenhuma conta ou serviço online?
Melhor ainda, use esta lista como o ímpeto para finalmente mudar para um gerenciador de senhas, como LastPass ou Dashlane.