Hábito de repetir nome de usuário como parte de chave secreta é nocivo.
Estudo foi realizado com pacote de 8.841 senhas.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Internautas brasileiros caíram em golpe, e
hacker deixou dados à mostra (Foto: Reprodução)
As senhas foram obtidas pelo time de análise de incidentes de segurança da Linha Defensiva e fazem parte de dois conjuntos de senhas roubadas por criminosos em ataques de phishing com páginas falsas do Orkut. Os criminosos deixaram as senhas no mesmo servidor em que a página falsa estava, permitindo a coleta dos dados para fins de análise.hacker deixou dados à mostra (Foto: Reprodução)
Em outras palavras, o conjunto de senhas é idêntico a um obtido por um criminoso. As contas foram realmente comprometidas. As informações, compartilhadas com o G1, foram então enviadas a Fernando Amatte, especialista em segurança da empresa de consultoria Fortivs, que analisou as senhas fornecidas.
Segundo a análise, os brasileiros usam números, letras e caracteres especiais. Do total de 8.841 senhas, 3.797 tinham essa combinação. No entanto, 1.070 senhas continham os cinco primeiros caracteres do nome de usuário na senha – o que significa que quase metade da senha estava no nome de usuário.
Baseado nos erros comuns vistos nessa análise e outras realizadas internacionalmente, o G1 preparou um quiz para que você possa testar seus conhecimentos sobre a segurança de senhas. Faça o teste, e depois confira os dados da análise.
Combinações na senha | |
---|---|
Números | 2.082 |
Só letras - total | 2.946 |
Letras - só minúsculos | 2.864 |
Letras - só maiúsculos | 58 |
Caracteres Especiais | 16 |
Mistas (nº, letras, especiais) | 3.797 |
Total | 8.841 |
Todas as senhas que utilizam cinco caracteres também aparecem na análise de 3 e 4, portanto os dados não são cumulativos. Os dados levaram em conta apenas os primeiros caracteres do nome de usuário.
“Existe um grande numero de senhas que são combinações de letras, números e caracteres especiais, o que é bom. Porém também temos um grande número de senhas em que a sequência dos cinco primeiros caracteres do nome de usuário é reutilizada na senha”, observa o especialista em segurança Fernando Amatte, que realizou a análise dos dados.
Reutilização dos caracteres do nome de usuário | |
---|---|
3 caracteres - no início da senha | 1.299 |
3 caracteres - em qualquer lugar da senha | 1.662 |
4 caracteres - no início da senha | 1.112 |
4 caracteres - em qualquer lugar da senha | 1.398 |
5 caracteres - no início da senha | 872 |
5 caracteres - em qualquer lugar da senha | 1.070 |
Senhas seguras
“A segurança de uma senha é medida baseada na quantidade de tempo que essa senha leva para ser descoberta por tentativa e erro”, explica o especialista Amatte. Segundo ele, um invasor com conhecimentos adequados irá estudar bastante a vítima para montar, manualmente e com o auxílio de ferramentas adequadas, uma lista de possíveis senhas. Essas, então, serão usadas para serem descobertas.
O invasor pode conseguir essas informações em redes sociais, por exemplo, para descobrir o que um usuário gosta, o nome de seus familiares ou cônjuges, a empresa em que trabalha ou outras informações que podem ser úteis no processo. Essas informações não devem constar em uma senha.
Quando uma senha numérica for obrigatória, evite
datas, placas de carro, telefones e números com
significado pessoal (Foto: Divulgação)
O especialista também adverte contra o uso de sequências de teclado, como “1qaz2wsx” (formada pelas teclas em diagonal dos números 1 e 2).datas, placas de carro, telefones e números com
significado pessoal (Foto: Divulgação)
Mas nem por isso as senhas precisam ser difíceis de lembrar. Segundo o especialista, é possível usar trechos de músicas, pegar as iniciais, adicionar números e variar maiúsculas e minúsculas. “Atirei o pau no gato, mas o gato não morreu” vira algo como “1ApgGnm7”.
Muitos sistemas (como o Windows e senhas de redes Wi-Fi) permitem o uso de senhas longas. Nesse caso, a frase original inteira pode ser usada. Se não for uma frase que você utiliza em outros locais, será muito difícil adivinhá-la, principalmente com as particularidades de pontuação. No caso de senhas obrigatoriamente numéricas, datas, números de telefone e placas de carro devem ser evitadas.
Amatte adverte para os ataques de phishing, em que o invasor cria um site falso e convida o usuário a digitar a senha. No Orkut, eles têm explorado recadastros e novas funções inexistentes do Orkut que requerem “registro especial”. Foi assim que o pacote de senhas foi obtido. “Dessa maneira, sem esforço o atacante consegue sua senha completa, independente da complexidade da mesma”, explica.
Um dos usuários na lista analisada, no entanto, conseguiu perceber o ataque. Na senha, ele digitou “vai hackear a sua mãe, aquela sem vergonha”. Outros internautas, no entanto, digitaram a senha várias vezes pensando que estavam errando a digitação – sinal que claramente não perceberam o golpe.
A coluna Segurança Digital fica por aqui, mas volta na quarta-feira (16) com o pacotão de segurança. Se você tem dúvidas sobre senhas ou outros assuntos relacionadas à segurança da informação, escreva na área de comentários. Até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Nenhum comentário:
Postar um comentário