sexta-feira, 22 de novembro de 2013

Se você é cliente da Adobe, troque todos as suas senhas o mais rápido possível. As senhas da Adobe foram roubadas e publicadas na internet. Essa é uma ocasião para examinar quais senhas NÃO são boas para se usar.


Um roubo recente de dados da Adobe, massivamente divulgado nos maiores portais, teve grandes consequências. Num primeiro momento, foi noticiado que cerca de 3 milhões de usuários foram afetados. Mas no fim das contas cerca de 150 milhões de registros tinham sido afetados. E para piorar, as senhas estavam pobremente protegidas e poderia se recuperar a original em muitos casos. Como medida de segurança, o Facebook alertou aos usuários que trocassem suas senhas.
Usar uma senha única para diferentes serviços é um problema sério de segurança. Pior ainda, muitos usuários cometem o mesmo erro na hora de inventar suas senhas. Vamos aprender com esses erros, como exemplo os casos mais recorrentes encontrados no banco de dados da Adobe.

1.  “Password”, “qwerty” e “123456”

Impressionantemente, essas são senhas óbvias e sempre estão no topo das listas de senhas mais comuns desde o início dos tempos. No banco de dados da Adobe, a senha "123456" ficou em primeiro lugar, se repetindo mais de 2 milhões de vezes. O segundo é um pouco mais complexo, a senha "123456789", seguida de perto pela senha "password". 345 mil usuários selecionaram como senha a palavra "password". E também o popular "qwerty" apareceu, ficando em 6º lugar.

2. Nomes de empresas e sites e suas variações

Você pode pensar que para o usuário "John" usar a senha "Facebook" é algo original. Não é. É claro que o nome de um site ou serviço não pode ser encontrado nos dicionários convencionais usados por hackers para quebrar as senhas. Mas, um hacker experiente definitivamente colocaria essas palavras na sua wordlist. as posições 4, 9, 15 e 16 das principais senhas usadas do banco de dados da Adobe são ocupadas pelas palavras "adobe123", "photoshop", "adobe1" e "macromedia" respectivamente.

3. Usuário = Senha e outras dicas

Mesmo quando encontramos bancos com alta criptografia para armazenagem de senhas, diga-se de passagem muito melhor que da Adobe, é muito provável que um hacker consiga diversas senhas com esforço mínimo. Todo sistema de senhas tem um meio de recuperar ou resetar essa senha. A maior dica de senha normalmente indica para a senha de fato. Alguns "gênios" colocam dicas como "1 a 6", nome ao contrario e etc.

4. Fatos óbvios

Facebook é uma das ferramentas para descoberta de senha mais utilizadas pelos hackers. Tendo informações da vítima, uma rápida busca nas redes sociais pode informar a senha, de acordo com a dica de senha, que normalmente é "nome do cachorro", "nome de algum familiar", "nascimento", "trabalho", "banda favorita" e etc. Cerca de 1 terço de todas as dicas referem diretamente a um familiar e animais de estimação, com um adicional de 15% onde a dica é a própria senha.

5. Sequências Simples

Parece que as combinações de números e letras são quase infinitas. Mas as pessoas conseguem usar sempre as mesmas. Senhas como "abc123", "00000", "123321", "asdfgh" e "1q2w3e4r" são as mais comuns. Se você acha que uma sequência ou combinação é fácil de lembrar não use. Se é fácil para você lembrar também será fácil para outros tentarem.

6. Palavras simples

De acordo com varios pesquisadores, cerca de metade das senhas são simples palavras do dicionário. Computadores atuais podem tentar mais de 10.000 senhas em alguns segundos, e é nesses segundos que sua senha vai para o espaço. Nas senhas da Adobe temos "sunshine", "monkey", "shadow", "princess", "dragon", "welcome", "jesus", "sex" e "god".

7. Modificações óbvias

Para dificultar o uso de ataques bruteforce, a maioria dos serviços está exigindo o uso de senhas complexas, com letras maiúsculas, minúsculas e números e em alguns casos até mesmo caracteres especiais. Mas os usuários conseguiram dar volta nisso também. Em quase todos os casos a primeira letra é maiúscula, e no final o número 1. Alguns exemplos do banco de dados da Adobe: "adobe1", "password1".

8. Modificações óbvias 2 (1337)

De acordo com o modo "hacker" de escrever, podemos ver muitas senhas assim também no banco de dados da Adobe. Para quem não sabe, esse modo de escrita consiste em substituir uma letra de uma palavra por números ou caracteres especiais, por exemplo a letra "E" vira "3", a letra "a" vira "@" e assim por diante. Algumas senhas encontradas: "1337", "H4X0R" e "$1NGL3". Agora você pode pensar que uma mudança dessas pode impedir que sua senha seja quebrada, mas não. Boa parte das ferramentas de bruteforce tem inteligência suficiente para realizar essas trocas óbvias.

9. Sentenças

Frases óbvias também são muito comuns, como por exemplo "letmein", "fuckyou"e "iloveyou" e rapidamente quebradas.

10 Números importantes

Estes são muito mais difíceis de descobrir. Mas, hackers podem perder um pouco de tempo tentando achar, como por exemplo número de identidade e CPF. Outros fins esse tipo de dado pode levar, então quando se vê a dica de senha como "meu CPF", certamente um hacker vai parar para tentar descobrir.

Hors concours – Senhas idênticas

Podemos ter encontrado em um banco de dados uma senha simples, como o popular "123456". Neste ponto, estamos falando em além de ter uma senha consideravelmente fraca utilizá-la em outros serviços. Obviamente isso é uma má idéia, mas milhares de pessoas fazem. Com isso, se uma senha é comprometida, hackers certamente tentarão essa mesma combinação em outros sites como Facebook e Gmail.
Agora a desculpa de sempre. É difícil lembrar de 10 senhas para 10 serviços diferentes, por isso que é usado sempre a mesma. Existem inúmeras maneiras de contornar isso, eu mesmo já postei aqui diversas delas, agora vai de você manter uma política de senhas.

Fonte: Kaspersky

Um comentário:

  1. Infelizmente nossos usuários vivem alheios ao que os cerca no mundo digital. Isso me deixa revoltado, mais não podemos fazer muita coisa além de coibir a entrada deste tipo de senha. Mais não devemos esquecer também a falha da adobe em permitir que estas senhas sejam persistidas em texto puro. Há varios anos que a comunidade condena este tipo de atitude e a prórpia historia nos mostra os casos, e não foram poucos, onde dados sensíveis foram persistidos de forma desprotegia, o ideal eh sempre usar algum bom algorítmo de hash com o acréscimo do salt para dificultar qualquer ataque brute-force.

    ResponderExcluir

Subscribe to RSS Feed Follow me on Twitter!