O tempo passa, o tempo voa e ainda não aprendemos a usar senhas decentes

A SplashData, uma empresa de segurança de dados é uma velha conhecida nossa, por fornecer diversão todos os anos com a lista das senhas mais usadas pelos usuários. A companhia coleta dados religiosamente em vazamentos acontecidos num período e compila quais são as chaves de segurança mais comumente empregadas e, bem… pouca coisa tem mudado nos últimos anos.

Sem muita surpresa o Top 25 das 100 mais usadas mudou muito pouco em relação aos últimos rankings divulgados pela SplashData (aqui, aqui e aqui), com a famigerada “123456” sendo mais uma vez a campeã. Nossa preguiça habitual em dedicar cinco minutos para a criação de uma senha minimamente decente, embora hajam outros meios mais seguros hoje para proteger nossos dados nos leva à reutilização de sequências de números simples, seja a primeira colocada ou a senha da maleta. Outras senhas, como sequências de letras como “qwerty” ou chaves óbvias como “admin”, “login” ou “letmein”, simples como “iloveyou” (essa é nova entre as 25 mais) ou palavras únicas como “football”, “welcome” e coisas derivadas permanecem sempre indo e vindo.

Talvez pelo hype de Star Wars: Os Últimos Jedi a palavra “starwars” tenha aparecido com bastante destaque entre as senhas mais usadas, mas a verdade é que a listagem da SplashData é um show de horrores anual. É sempre bom alertar que embora palavras e frases simples sejam fáceis de serem lembradas e chaves complicadas dificultem mais o trabalho do usuário do que hackers, a dica do XKCD também não é 100% perfeita porque programas e rotinas bem escritas podem encontrar tais combinações com mais trabalho, mas eventualmente conseguirão vencer a proteção.

Não é de hoje que companhias como Google e Yahoo! tentam a todo custo dar cabo das senhas, e companhias como a Microsoft fazem sua parte para dar cabo das mais vazadas. Iniciativas como a do governo dos EUA de ensinar boas práticas também são importantes, como preferir citações a trechos de livros ou de músicas que adicionam um número gigantesco de bits de entropia, que um ataque de força bruta levaria séculos para quebrar.

Afinal, qualquer coisa é melhor do que confiar numa sequência de cinco números para proteger o que quer que você carregue na sua maleta.

Fonte: SplashData.

Relacionados: , , , ,

Autor: Ronaldo Gogoni

Um cara normal até segunda ordem. Além do MeioBit dou meus pitacos eventuais como podcaster do #Scicast, no Portal Deviante.

Compartilhar
  • Jairo 😎🍺

    Incrível como as pessoas são descuidadas , desinformadas ….

    • Gertrudes, a Lhama

      Também acho isso um absurdo!

      Agora com licença que vou ali trocar minha senha no Yahoo! Mail…

  • Diogo

    Me pergunto porque algumas senhas dessas aí são tão populares… a maioria é óbvia, são sequências de letras no teclado (123456, qwerty, etc.), ou são palavras relacionadas com autenticação (Password, admin, master)… mas porque diabos tanta gente usa “monkey” como senha?

    • Wagner Felix

      Deve ser coisa cultural dos falantes nativos de lingua inglesa. Eles adoram “monkeys”, muito desenho animando, programa educativo, joguinho educativo, musiquinhas…

    • Luiz

      Porque é o tipo de serviço de peão que fazem. Monkey Job, é um termo americano.

      • Davos, o lord cebolito!

        Vivendo e aprendendo!

  • Davos, o lord cebolito!

    Mas também, é um samba do crioulo doido, não? Li aqui mesmo no meiobit que o Governo dos EUA recomenda senhas mais simples, ai o sujeito usa senhas simples e é visto como descuidado! http://meiobit.com/367739/nist-passwords-governo-dos-eua-pede-para-a-gente-simplificar-as-senhas/

    O problema está na sensação de segurança, que sempre será falsa.

    Primeiro que o usuário comum pensa que uma tentativa de invasão se dá com um cara mal intencionado, na frente de computador, digitando senhas uma por uma, não conseguindo o acesso e tentando novamente até se cansar – HAHAHA – , poucos entendem que geralmente um programa é que vai disparando senhas até conseguir o acesso, ou seja, que esse processo é automatizado e as tentativas ocorrem com grande velocidade.

    Segundo que as pessoas pensam: ” Nossa, é muito óbvio, ninguém vai tentar isso, pois vai contra o que é a convenção de “senha segura”, hehehe” pois poucos entendem o mindset de quem tenta invadir um sistema indevidamente.

    Na real, enquanto tiver humanos na equação, nenhum método de segurança é realmente seguro. Sim, eu sei que a resposta é clichê, porém é fato!

    • Wagner Felix

      Simples, mas não obvia.
      Tipo
      MeuCachorroLebreuTem3patasmarrons
      é uma senha simples, mas complicadíssima pra um programa de força bruta quebrar.

      • quem da dicas assim são os que tem a senha 123amor… 123bebe…

        • Wagner Felix

          amorzinhoS2

        • SignaPoenae

          Todas as senhas dos meus e-mails são assim, porém com frases de livros. A maior tem 36 dígitos e combina maiúsculas e minúsculas. São palavras simples, que memorizei na primeira vez que li o livro, e dificilmente erro ela ao digitar.

    • tiago

      Pois esses dias mesmo teve uma postagem sobre o cara que inventou as regras de criação de senhas pedindo desculpas, pq ele estava errado

      • https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118

        Resumo: esqueçam tudo que escrevi. Cansa ter que criar senha e os programas de validação ficam falando (caracter especial, numero, letra maiuscula …).

    • o que é importante tem senha fácil mas com dois fatores… o que nao é importante tem senha generica…

      • https://www.tecmundo.com.br/curiosidade/47666-codigo-para-lancar-misseis-nucleares-dos-eua-foi-00000000-durante-20-anos.htm

      • Conselho de quem se ferrou.

        Tinha senha 2 fatores para Uplay (Ubisoft, concorrente do Steam), usando o Google Authenticator no celular.

        Porém, perdi este celular e tive que trocar.

        Reinstalei o Google Authenticator no novo celular, mas não tinha mais acesso ao meu código do Uplay para gerar o token.

        Para conseguir acessar o Uplay, precisava da senha e desse token. E, claro, para desativar a autenticação de 2 fatores, tinha que gerar esse token.

        Resumo: perdi acesso por quase 1 mês a minha conta (perdi o Watch Dogs de graça no período) e só resolvi após abrir chamado e esperar semanas para resolver.

    • E. Bicalho

      Não confunda senha fácil com senha simples.

  • Islan Oliveira

    Desde 2014 passei a fazer todas minhas senhas com um único método de criação: eu utilizo frases que eu crio de cabeça na hora e que são muito mais fáceis de lembrar do que aquela parafernália de senhas, número e caracteres. Faço algumas frases em inglês, umas em português e já cheguei a fazer uma que misturava palavras em alemão, francês, inglês, espanhol e português. Se adicionar um erro gramatical proposital é praticamente impossível que a senha seja descoberta, mesmo que com uso de engenharia social. Mas também não sou o usuário mais consciente do mundo, pois alguns serviços secundários todos eu uso uma senha padrão, que mesmo que seja quase impossível de ser descoberta, não é o ideal.

    • PugOfWar

      o problema é que qqer site hj pede senha, aí não tem como gerar uma pra cada, o que eu faço é usar um conjunto de senhas que eu sei que é para sites não importantes

      • Thiago Cururu

        Eu tenho um modelo que é feito de uma parte fixa de pelo menos um caractere especial, um número e uma letra maiúscula. A parte variável faço uma derivação de 5 caracteres do nome do serviço, ou desenvolvedor, que estou acessando. O total sempre é igual a 16 caracteres. É o melhor jeito de não usar a mesma senha em mais de um lugar e também de não ficar esquecendo.

        Por exemplo se fosse uma senha para o MeioBit seria algo como : +TxtFixo2017meibt (exemplo porco, mas da para entender a estrutura)

        • Carlos Marin

          Também faço isso tem um bom tempo e depois que acostuma fica fácil lembrar. Eu tenho uma simples que uso para sites diversos, fóruns e coisas bestas e a partir dela crio as mais complexas contendo o nome do site. Eu que me considero desmemoriado acabei com o problema das senhas na minha vida.

          • Thiago Cururu

            A péssima memória me fazia adotar a mesma senha complexa para tudo, mas a neurose avançada me fez adotar esse padrão personalizado para tudo rsrsrs. Claro que todos os serviços que aceitam autenticação em 2 fatores são ativados.

        • Papel Aluminio

          Faco a mesma coisa. Tem uma parte fixa de 8 caracteres, mais uma combinacao baseada no nome do servico, finalizando com umas pontuacoes.

      • Belkar

        Também faço isso. Aí tu vai fazer um cadastro num site que pede um padrão de senha que não se encaixa nas que tu usa. Dá vontade de matar todo mundo.

  • niltonql

    Mas se a senha vaza independentemente de ser forte ou não, talvez o usuário que não desperdice energia com isso não esteja tão errado.

  • Se a minha vizinha usasse senha fácil eu já teria descoberto a senha dela… Que bosta que as pessoas estão mais espertas hoje em dia… O kali esta lá trabalhando duro para resolver aquele aperto de mão…

  • Lui Spin

    Teve uma época que as top3 era “deus”, “amor” e “sexo”. Não necessariamente nessa ordem, e nas línguas dos seus respectivos países.

  • gfg2

    O tempo passa e a piada tambem não envelhece:

    Windows 10: Digite sua senha

    Zé : Zé

    Windows 10 : Desculpe, a senha não pode ser o seu nome.

    Zé : zi

    Windows 10 : Desculpe, a senha deve conter pelo menos 6 caracteres

    Zé : pepinos

    Windows 10 : Desculpe a senha deve conter pelo menos um número

    Zé: dois pepinos

    Windows 10 : Desculpe, a senha deve conter pelo menos um número em forma de numeral.

    Zé : 2 pepinos

    Windows 10 : Desculpe, a senha não pode conter espaços

    Zé : 2pepinosdemerda

    Windows 10 : Desculpe, a senha deve conter pelo menos uma maiúscula.

    Zé : 2pepinosdeMERDA

    Windows 10: Desculpe, a senha não pode conter maiúsculas sucessivas

    Zé : 2PepinosDeMerda!!!!!!

    Windows 10 : Desculpe, a senha não pode conter símbolo de pontuação.

    Zé : 2PepinosDeMerdaParaQueOsEnfiesNoCuSeuFilhoDaPutaDoCaralho.

    Windows 10 : Desculpe, essa senha já existe!

  • Diego Diego

    O negócio é decorar uma citação, de preferência em uma língua morta, de pelo menos um parágrafo.
    Daí teclar uma sequencia aleatória de 3 ou 4 mil caracteres variados, guardar essa sequencia aleatória em um txt rareado e encriptado tendo como proteção a senha da citação em língua morta. Quando precisar, abra o arquivo rar e copie a senha grande. Use-a. Rareie o .txt com senha novamente (de preferência usando outra citação memorizada de um parágrafo). Feito!
    Na força bruta levará uns dois mil anos para descobrirem sua senha. Só não esqueça de encriptar o arquivo rar da senha grande, senão algum amiguinho pode roubar.

    • Salles Magalhaes

      Teclar letras aleatoriamente: uma boa forma de fazer isso eh abrir o vim e tentar fechá-lo…

      • Felipe Silva

        Mais eficiente e aleatório é deixar um gato caminhando na tua mesa.
        Caso precise de muita aleatoriedade, use 2 gatos.

  • Julio da Gaita ✔

    O tempo passa, o tempo voa

    … e a poupança bamerindus…

    • Francis Schonarth

      …faliu. kkkk

      • Julio da Gaita ✔

        a musiquinha era boa pelo menos…rs

  • Francis Schonarth

    Só sei que quem usa “123456” merece ser invadido. As outras ainda vai, mas essa é mais velha que andar pra frente.

  • Christiano Nascimento Amorim

    moderna é Apple que não precisa de senha pra acessar como root

  • Christiano Nascimento Amorim

    melhor senha: ZEROumMINUSCULO.

    como que explica? “a senha é zero um minúsculo, mas o zero é maiúsculo e o um é minúsculo e o minúsculo é maiúsculo.”

    • Bom Despacho

      acabou de entrar na wordlist aqui kkk

    • Majin-boo

      Senha de wi-fi para McDonalds

  • EmuManíaco

    vou mudar minha senha pra disneyfox

  • Bom Despacho

    eu tenho níveis de senhas, tipo:
    podem ser passadas: meucao
    algumas pessoas : meucao2v
    só eu sei: [email protected]#

    níveis diferentes pra lugares diferentes, trocar de tempos em tempos, devido a vazamento.

  • Maximus Gambiarra

    O texto fala apenas das senhas comuns, mas o preocupante de verdade é que as senha mais complexas do mundos foram vazadas do mesmo jeito. Toda a preocupação com entropia é inútil se os sistemas continuam sendo invadidos e disponibilizando os seu dados.

    • O único jeito de realmente se proteger é usar uma senha diferente para cada serviço
      Só que não tem como fazer isso sem um gerenciador de senhas…

      • João Alves

        Exato! Tem que ter um gerenciador, é impossível se proteger adequadamente sem isso.

  • Sophos Nsm

    A minha principal e o trecho de um livro com mais um símbolo e um numero

Aproveite nossos cupons de desconto:

Cupom de desconto Asus, Cupom de desconto Frio Peças, Cupom de desconto Mundo da Carabina, Cupom de desconto JBL, Cupom de desconto Costa Cruzeiros, Cupom de desconto Loja do Mecânico, Cupom de desconto Staples