Se você é cliente da Adobe, troque todos as suas senhas o mais rápido possível. As senhas da Adobe foram roubadas e publicadas na internet. Essa é uma ocasião para examinar quais senhas NÃO são boas para se usar.
Um roubo recente de dados da Adobe, massivamente divulgado nos maiores portais, teve grandes consequências. Num primeiro momento, foi noticiado que cerca de 3 milhões de usuários foram afetados. Mas no fim das contas cerca de 150 milhões de registros tinham sido afetados. E para piorar, as senhas estavam pobremente protegidas e poderia se recuperar a original em muitos casos. Como medida de segurança, o Facebook alertou aos usuários que trocassem suas senhas.
Usar uma senha única para diferentes serviços é um problema sério de segurança. Pior ainda, muitos usuários cometem o mesmo erro na hora de inventar suas senhas. Vamos aprender com esses erros, como exemplo os casos mais recorrentes encontrados no banco de dados da Adobe.
1. “Password”, “qwerty” e “123456”
Impressionantemente, essas são senhas óbvias e sempre estão no topo das listas de senhas mais comuns desde o início dos tempos. No banco de dados da Adobe, a senha "123456" ficou em primeiro lugar, se repetindo mais de 2 milhões de vezes. O segundo é um pouco mais complexo, a senha "123456789", seguida de perto pela senha "password". 345 mil usuários selecionaram como senha a palavra "password". E também o popular "qwerty" apareceu, ficando em 6º lugar.
2. Nomes de empresas e sites e suas variações
Você pode pensar que para o usuário "John" usar a senha "Facebook" é algo original. Não é. É claro que o nome de um site ou serviço não pode ser encontrado nos dicionários convencionais usados por hackers para quebrar as senhas. Mas, um hacker experiente definitivamente colocaria essas palavras na sua wordlist. as posições 4, 9, 15 e 16 das principais senhas usadas do banco de dados da Adobe são ocupadas pelas palavras "adobe123", "photoshop", "adobe1" e "macromedia" respectivamente.
3. Usuário = Senha e outras dicas
Mesmo quando encontramos bancos com alta criptografia para armazenagem de senhas, diga-se de passagem muito melhor que da Adobe, é muito provável que um hacker consiga diversas senhas com esforço mínimo. Todo sistema de senhas tem um meio de recuperar ou resetar essa senha. A maior dica de senha normalmente indica para a senha de fato. Alguns "gênios" colocam dicas como "1 a 6", nome ao contrario e etc.
4. Fatos óbvios
Facebook é uma das ferramentas para descoberta de senha mais utilizadas pelos hackers. Tendo informações da vítima, uma rápida busca nas redes sociais pode informar a senha, de acordo com a dica de senha, que normalmente é "nome do cachorro", "nome de algum familiar", "nascimento", "trabalho", "banda favorita" e etc. Cerca de 1 terço de todas as dicas referem diretamente a um familiar e animais de estimação, com um adicional de 15% onde a dica é a própria senha.
5. Sequências Simples
Parece que as combinações de números e letras são quase infinitas. Mas as pessoas conseguem usar sempre as mesmas. Senhas como "abc123", "00000", "123321", "asdfgh" e "1q2w3e4r" são as mais comuns. Se você acha que uma sequência ou combinação é fácil de lembrar não use. Se é fácil para você lembrar também será fácil para outros tentarem.
6. Palavras simples
De acordo com varios pesquisadores, cerca de metade das senhas são simples palavras do dicionário. Computadores atuais podem tentar mais de 10.000 senhas em alguns segundos, e é nesses segundos que sua senha vai para o espaço. Nas senhas da Adobe temos "sunshine", "monkey", "shadow", "princess", "dragon", "welcome", "jesus", "sex" e "god".
7. Modificações óbvias
Para dificultar o uso de ataques bruteforce, a maioria dos serviços está exigindo o uso de senhas complexas, com letras maiúsculas, minúsculas e números e em alguns casos até mesmo caracteres especiais. Mas os usuários conseguiram dar volta nisso também. Em quase todos os casos a primeira letra é maiúscula, e no final o número 1. Alguns exemplos do banco de dados da Adobe: "adobe1", "password1".
8. Modificações óbvias 2 (1337)
De acordo com o modo "hacker" de escrever, podemos ver muitas senhas assim também no banco de dados da Adobe. Para quem não sabe, esse modo de escrita consiste em substituir uma letra de uma palavra por números ou caracteres especiais, por exemplo a letra "E" vira "3", a letra "a" vira "@" e assim por diante. Algumas senhas encontradas: "1337", "H4X0R" e "$1NGL3". Agora você pode pensar que uma mudança dessas pode impedir que sua senha seja quebrada, mas não. Boa parte das ferramentas de bruteforce tem inteligência suficiente para realizar essas trocas óbvias.
9. Sentenças
Frases óbvias também são muito comuns, como por exemplo "letmein", "fuckyou"e "iloveyou" e rapidamente quebradas.
10 Números importantes
Estes são muito mais difíceis de descobrir. Mas, hackers podem perder um pouco de tempo tentando achar, como por exemplo número de identidade e CPF. Outros fins esse tipo de dado pode levar, então quando se vê a dica de senha como "meu CPF", certamente um hacker vai parar para tentar descobrir.
Hors concours – Senhas idênticas
Podemos ter encontrado em um banco de dados uma senha simples, como o popular "123456". Neste ponto, estamos falando em além de ter uma senha consideravelmente fraca utilizá-la em outros serviços. Obviamente isso é uma má idéia, mas milhares de pessoas fazem. Com isso, se uma senha é comprometida, hackers certamente tentarão essa mesma combinação em outros sites como Facebook e Gmail.
Agora a desculpa de sempre. É difícil lembrar de 10 senhas para 10 serviços diferentes, por isso que é usado sempre a mesma. Existem inúmeras maneiras de contornar isso, eu mesmo já postei aqui diversas delas, agora vai de você manter uma política de senhas.
