Nos dias de hoje, onde os agentes de ameaças estão sempre à procura de obter acesso não autorizado às nossas contas, usar uma senha forte e 2FA torna-se mais importante do que nunca. No entanto, apesar do uso predominante de ferramentas de verificação de terceiros, como security.org, para avaliar a força da senha, um recente relatório da empresa de segurança cibernética Project Black sugere que essas ferramentas podem ser altamente imprecisas.
Para verificar a precisão, o pesquisador Eddie Zhang pegou a senha ‘Ministry2023!’ e executei-o em cinco ferramentas principais de verificação. Depois de verificados, os resultados iniciais foram impressionantes, com Delinea e outros rotulando-o como forte, estimando que levaria cerca de 11 milhões de anos para ser quebrado. E para um usuário comum do dia a dia, essa afirmação teria sido suficiente para fazê-lo acreditar na força de suas senhas, já que os computadores permutam cada sequência de número de palavras para encontrar a combinação exata.
Atores de ameaças estudam comportamentos humanos
Embora essas ferramentas sejam um tanto precisas, nos últimos anos, os agentes de ameaças começaram a estudar o comportamento humano para quebrar senhas. Isso ocorre porque tendemos a favorecer padrões previsíveis ao criar senhas. Por exemplo, quando um site nos pede para usar letras maiúsculas e especiais em nossas senhas, a maioria de nós apenas coloca a primeira palavra em maiúscula ou adiciona números e caracteres especiais de maneira não aleatória.
Munidos desse conhecimento, os pesquisadores conseguiram decifrar a senha em apenas 8 segundos usando uma única placa gráfica de $ 650 (RTX 3070) no Windows formato hash (NTLM).
Diferentes tipos de ataques
No mundo da segurança cibernética, existem dois tipos principais de ataques, ou seja, online e offline. Os ataques online ocorrem quando um agente de ameaça visita um site como Instagram e tenta quebrar sua senha. No entanto, esses ataques costumam ser malsucedidos, pois a maioria dos sites tem um limite de quantas vezes alguém pode inserir uma senha.
Por outro lado, os ataques offline são muito mais perigosos, pois ocorrem quando um hacker obtém o hash da sua senha em uma violação de dados. Para contextualizar as coisas, o hash de senha é uma forma de as empresas armazenarem suas senhas, convertendo-as em uma série de caracteres aleatórios. E embora esse processo torne as senhas comprometidas ininteligíveis, os agentes de ameaças armados com padrões comportamentais podem decifrá-las com milhões de tentativas.
Como se manter protegido?
Dados os riscos de violação de senha, os usuários devem ir além das técnicas normais ao configurar senhas. Ativar a autenticação multifator (MFA) quando disponível, evitar a reutilização de senhas e utilizar gerenciadores de senhas como 1Password são etapas essenciais.
