A exclusividade é um dos atributos mais importantes de uma senha, juntamente com seu comprimento e diversidade de caracteres. As senhas comuns carecem de exclusividade e, portanto, são fundamentalmente fracas. É importante observar que as senhas comuns também incluem senhas derivadas de fórmulas ou padrões comuns. Essas senhas facilitam o trabalho para atacantes de força brutae algoritmos automatizados de adivinhação de senha.
Esta postagem discutirá senhas e padrões de senha comuns, por que são arriscados, quais práticas de senha os indivíduos devem seguir e hábitos de senha que devem evitar.
Lista das senhas mais comuns em 2023
- 123456
- 123456789
- qwerty
- senha
- 12345
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
- administrador
A lista acima é alarmante porque mostra uma grave falta de consideração pela segurança das senhas. Essas senhas apresentam pouca ou nenhuma resistência contra ataques de quebra de senhas. Dos mais de 15 bilhões de senhas roubadas analisadas pela Cybernews, apenas um pouco mais 2 bilhões de senhas eram únicas. Todos os outros eram sequências alfanuméricas comuns como as acima ou tinham padrões facilmente discerníveis.
Como essas senhas são reutilizadas excessivamente, os invasores podem invadir um grande número de espaços digitais simplesmente testando essas senhas com IDs de e-mail ou nomes de usuário roubados.
4 Padrões de senha comuns
Os usuários da Internet têm a tendência de criar senhas difíceis de adivinhar para eles (humanos). No processo de criação de senhas fortes, eles acabam criando senhas fáceis de adivinhar pelos computadores.
Os invasores usam ferramentas automatizadas poderosas que tentam todas as combinações possíveis de letras e caracteres para adivinhar a senha correta. Este é um processo que consome muitos recursos e tem suas limitações. Uma senha de 12 caracteres que consiste em uma coleção aleatória de números, letras e caracteres especiais é quase impossível de ser adivinhada por meio de um ataque de força bruta.
No entanto, a tendência entre os utilizadores da Internet de incorporar padrões típicos nas palavras-passe das suas contas online restringe os parâmetros de um ataque de força bruta, melhorando significativamente as suas probabilidades.
1. Números sequenciais e caracteres repetidos
Números sequenciais começando em 1 ou 9 são extremamente comuns e as senhas podem ser quebradas quase instantaneamente. Repetir o mesmo número várias vezes para criar uma senha é igualmente infrutífero devido à natureza comum de tais padrões.
2. Padrões de teclado
Os usuários geralmente tendem a usar padrões de teclado como “asdfg”, “qwerty” ou “ghjkl” como senhas. Como essas senhas são fáceis de visualizar, também são fáceis de lembrar. No entanto, esses também são padrões comuns e um computador irá decifrá-los instantaneamente.
3. Palavras comuns, variações simples e palavras reversas
Os usuários costumam usar palavras como “senha”, “admin” ou frases como “letmein” como código de segurança. Alguns criam uma nova senha adicionando uma variação simples a uma palavra já usada, como “p@ssword” para senha ou “53curity” para segurança.
Em alguns casos, os usuários digitam as palavras ao contrário, por exemplo, “nimda” para admin ou “koobecaf” para Facebook. Todos esses padrões são comuns e os invasores possuem grandes listas dessas palavras populares e suas variações. Conseqüentemente, esses códigos não podem sobreviver a um ataque de dicionário.
4. Nomes e aniversários
Nomes, datas de nascimento, nomes de animais de estimação, nomes da alma mater e marcas com as quais uma pessoa trabalhou, todos podem ser facilmente extraídos das mídias sociais ou coletados por meio de ataques de engenharia social. Uma pessoa que gosta de formular suas senhas combinando esses elementos pode criar uma string como “Alex1990@hArvard”. Embora isso não seja tão fácil de quebrar como os anteriores, com o conjunto certo de informações em mãos, um invasor conseguirá alcançá-lo.
Deixando isso de lado, existem outros padrões e recursos que os invasores procuram em uma senha. Por exemplo, o ano de 2010 foi usado em mais de 10 milhões de senhas, seguido por “1987”, que apareceu em 8.4 milhões de senhas. Os usuários também gostam de usar o nome de seu time esportivo, cidade ou cidade natal favorita em uma senha. Isso também é algo que restringe a caça aos invasores.
Como uma senha comum é adivinhada por um invasor?
Aqui está um exemplo de como uma senha ou padrão de senha comum facilita o trabalho de um invasor e como maus hábitos de senha colocam o usuário em apuros ainda maiores.
A premissa
Alice é uma pessoa que entende de tecnologia e tem muitas contas online. No entanto, ela usa a mesma senha, “Alice1990” em várias contas.
Agora, um dos serviços online que ela usa enfrenta uma violação de dados e os invasores colocam as mãos em todas as senhas. No entanto, as senhas foram criptografadas e, portanto, os invasores as obtiveram em formato hash. Isso significa que, em vez das senhas em texto simples, os invasores possuem sequências alfanuméricas que representam a senha.
O desafio
Para invadir uma conta, os invasores precisam adivinhar uma senha em texto simples que produza o mesmo valor que uma senha no banco de dados violado quando submetida ao algoritmo de hash.
A vantagem do hash é que é um processo unilateral. A desvantagem do hash é que ele produz os mesmos valores de hash para entradas de texto simples idênticas.
Um padrão reconhecível
Para quebrar uma senha com sucesso, os invasores precisam escolher um alvo fácil. Isso pode ser feito reconhecendo padrões. Padrões de senha comuns são refletidos nos valores de hash. Portanto, quando os invasores veem o valor hash de “Alice1990”, eles reconhecem um padrão – um nome + um ano.
O ataque
O invasor usa uma lista de nomes comuns e anos entre 1980 e 1990 (ele pode selecionar o intervalo de anos com base no grupo demográfico típico do usuário do software que violou) para restringir a força bruta.
Agora, a ferramenta automatizada tenta cada combinação de nomes e anos da lista até que haja uma correspondência entre o hash resultante e o hash alvo. Assim que uma correspondência é encontrada, o invasor obtém a senha – Alice1990 e faz login em sua conta.
A escalada
Com acesso à senha que Alice havia reutilizado em todos os lugares, o invasor obteve acesso a todas as suas contas digitais, inclusive contas profissionais. Isso pode resultar na violação de dados confidenciais e em perdas financeiras e de reputação, entre outras coisas.
É assim que erros comuns de senha podem resultar em grandes contratempos e eventos que alteram vidas. Com uma senha mais segura, algo com pelo menos 12 caracteres e nenhum padrão reconhecível poderia ter salvado Alice. Se ela tivesse definido senhas diferentes para cada conta, os invasores não conseguiriam escalar o ataque tão facilmente.
3 Práticas de senha segura a serem seguidas
Chave Uniquma ferramenta especializada para gerenciar senhas comerciais, criou um guia útil sobre ‘estratégias de gerenciamento de senhas‘. Este guia fornece às empresas dicas úteis e conselhos práticos sobre como gerenciar senhas de maneira mais eficaz. Além disso, você também pode começar a implementar algumas práticas básicas imediatamente abaixo para melhorar o gerenciamento de suas senhas.
- Não use senhas fáceis de adivinhar: se quiser algo memorável, use uma frase longa que não tenha padrões comuns. Pode ser algo importante para você, mas não uma simples coleção de itens facilmente imagináveis.
- Não compartilhe senhas em texto simples: suas senhas são mantidas em um banco de dados como valores com hash. Mas quando você os compartilha em texto simples, eles são facilmente acessíveis através da interceptação do meio de comunicação.
- Use um gerenciador de senhas: um gerenciador de senhas gera senhas indesejáveis para você, criptografa-as e armazena-as, além de preencher automaticamente seus campos de credenciais. Isso elimina o incômodo de todo o processo de autenticação.