Vídeo: Suas SENHAS estão em VAZAMENTOS pela internet? Descubra! - Dica do Pato #01 (Novembro 2024)
Não importa quão longa e complexa seja sua senha: se você usar a mesma senha em vários sites, estará em alto risco de ataque.
No mês passado, os pesquisadores da Trustwave descobriram cerca de dois milhões de nomes de usuários e senhas em um servidor de comando e controle com sede na Holanda. O servidor, que fazia parte da botnet Pony, tinha coletado credenciais para vários sites, além de contas de email, FTP, Área de Trabalho Remota (RDP) e Secure Shell (SSH) dos computadores dos usuários, escreveu Daniel Chechik da Trustwave na época. Dos 2 milhões de credenciais colhidas, cerca de 1, 5 milhão foram para sites, incluindo Facebook, Google, Yahoo, Twitter, LinkedIn e ADP, provedor de folha de pagamento on-line.
Uma análise mais profunda da lista de senhas constatou que 30% dos usuários que tinham contas em várias contas de mídia social haviam reutilizado suas senhas, disse John Miller, gerente de pesquisa de segurança da Trustwave. Cada uma dessas contas estaria vulnerável a um ataque de reutilização de senha.
"Com uma pequena quantidade de esforço e algumas consultas inteligentes do Google, um invasor pode encontrar serviços online adicionais nos quais o usuário comprometido usou uma senha semelhante e, em seguida, também pode obter acesso a essas contas", disse Miller à Security Watch .
São "apenas" mídias sociais
Obviamente, é ruim que os invasores tenham acesso aos servidores de FTP e contas de e-mail das vítimas, mas pode não ser tão óbvio por que ter suas senhas no Facebook ou LinkedIn era um grande problema. É importante lembrar que os atacantes freqüentemente usam essas listas como ponto de partida para lançar ataques secundários. Mesmo que os invasores roubem "apenas" uma senha de mídia social, eles podem acabar acessando sua conta Amazon ou invadir sua rede corporativa via VPN porque o nome de usuário e a senha eram os mesmos que você tinha nessa conta de mídia social.
O Security Watch costuma alertar sobre os perigos da reutilização de senhas. Por isso, pedimos à Trustwave para analisar essa lista de senhas para quantificar a extensão do problema. Os números resultantes foram surpreendentes.
Dos 1, 48 milhões de nome de usuário / senha associados às contas de mídia social, Miller identificou 228.718 usuários distintos com mais de uma conta de mídia social. Desses nomes de usuário, 30% usavam a mesma senha em várias contas, segundo Miller.
Caso você esteja se perguntando, sim, os criminosos cibernéticos tentarão a mesma combinação em sites aleatórios, manualmente ou por meio de um script para automatizar o processo.
Reutilizar senhas tão ruins quanto fracas
As senhas podem ser difíceis de lembrar, e isso é especialmente verdadeiro para senhas que a maioria das pessoas considera fortes. Embora esses usuários devam ser elogiados por não usarem senhas fracas, como "admin", "123456" e "password" (que ainda era um problema entre este grupo), o problema é que mesmo senhas complexas perdem sua eficácia se não forem ' t único.
Miller também identificou outro problema de reutilização. Enquanto muitos sites têm usuários conectados com seus endereços de email, outros permitem que os usuários criem seus próprios nomes de usuário. Na lista original de 1, 48 milhão de combinações de nome de usuário / senha, havia 829.484 nomes de usuários distintos porque os usuários usavam palavras comuns. De fato, "admin" apareceu como um nome de usuário 4, 341 vezes. Metade dos nomes de usuário "fracos" também tinha senhas fracas, aumentando ainda mais a probabilidade de que os invasores pudessem atravessar várias contas.
Fique seguro
As senhas seguras são essenciais para manter nossos dados e identidade seguros online, mas os usuários frequentemente optam pela conveniência em vez da segurança. É por isso que recomendamos que você use um gerenciador de senhas para criar e armazenar senhas complexas e exclusivas para cada site ou serviço que você usa. Esses aplicativos também efetuam login automaticamente, dificultando muito o acesso dos keyloggers às suas informações. Não deixe de experimentar o Dashlane 2.0 ou o LastPass 3.0, ambos vencedores do prêmio Editors 'Choice para gerenciamento de senhas.
Como observamos no mês passado, a botnet Pony provavelmente coletou as informações de login por meio de keyloggers e ataques de phishing. Mantenha seu software de segurança atualizado para evitar a infecção em primeiro lugar, o Webroot SecureAnywhere AntiVirus (2014) ou o Bitdefender Antivirus Plus (2014) e siga nossas diretrizes para detectar ataques de phishing.