Elimine essas senhas comuns agora e use essas dicas para melhorar a segurança das senhas
Josh Fruhlinger e James A. Martin
Questionário: Qual foi a senha mais popular – e, portanto, menos segura – todos os anos desde 2013? Se você respondeu “password” (“senha” em inglês), você estaria perto. “Qwerty” (layout de teclado para o alfabeto latino) é outro candidato à duvidosa distinção, mas o campeão é a senha mais básica e óbvia que se possa imaginar: “123456”.
Sim, muitas pessoas ainda usam “123456” como senha, de acordo com as 200 senhas mais comuns do ano para 2020 do NordPass, que se baseia na análise de senhas expostas por violações de dados. A sequência de seis dígitos também obteve uma classificação elevada em outras listas ao longo dos anos; SplashData, que apresentou listas usando metodologia semelhante, encontrou “123456” em segundo lugar em 2011 e 2012; em seguida, saltou para o primeiro lugar, onde permaneceu todos os anos até 2019.
Muitas outras senhas epicamente inseguras continuam a tornar a senha anual da vergonha, incluindo a mencionada “senha” (sempre entre as cinco primeiras e a número 1 em 2011 e 2012); “Qwerty” (sempre entre os dez primeiros); e uma variação um pouco mais longa do campeão atual, “12345678” (sempre entre os seis primeiros).
10 senhas mais comuns de 2020
Estas são as 10 piores e mais frequentemente usadas senhas de 2020, de acordo com a lista de senhas mais comuns do NordPass:
- 123456
- 123456789
- picture1
- password
- 12345678
- 111111
- 123123
- 12345
- 1234567890
- senha
Outras listas de piores senhas, como SplashData e as do National Cyber Security Center do Reino Unido, são geralmente consistentes. Sequências numéricas facilmente adivinhadas e “words” compostas de letras imediatamente adjacentes umas às outras em um teclado QWERTY padrão são sempre populares; o mesmo acontece com a frase “iloveyou”, porque somos uma espécie de românticos sem esperança. Outro vencedor constante e indecente é a palavra “password”. Por falar nisso, uma nova adição à lista do NordPass este ano foi “senha”, em português mesmo. Isso pode refletir o crescimento da população do Brasil se tornando mais conectada à internet, embora aparentemente eles não se preocupem mais com a segurança do que os falantes de inglês.
Para melhor segurança de senha
As empresas estão aumentando o uso de serviços de autenticação multifator (MFA) e logon único (SSO) para reforçar a segurança. No entanto, muitos funcionários “ainda têm uma higiene deficiente de senha que enfraquece a postura geral de segurança de sua empresa”, de acordo com o 3º relatório anual de segurança de senha global (2019) da LogMeIn.
Não é à toa que muitos funcionários ficam cansados de usar senhas, o que, por sua vez, leva a uma segurança de senha frouxa. O relatório da LogMeIn descobriu que os usuários em empresas maiores (1.001 a 10.000 funcionários) têm em média 25 senhas com as quais lutar. O problema é mais agudo para usuários em pequenas empresas (25 ou menos funcionários), que têm em média 85 senhas para fazer lidar. Os funcionários do setor de mídia/publicidade usam o maior número de senhas, 97, em média, ante 54 senhas por funcionário do governo (setor com o menor número médio de senhas por funcionário).
Existem três maneiras principais de comprometer as senhas, de acordo com Robert O’Connor, CISO da Neocova, provedora de tecnologia bancária da comunidade e ex-Vice-Diretor de Segurança da Informação Corporativa da CIA: adivinhação (por um humano), cracking (por força bruta algorítmica) e captura (obtendo acesso a algum lugar onde uma senha foi armazenada, seja em um banco de dados ou em um post-it). Cada uma das técnicas a seguir tenta mitigar um ou mais desses métodos; por exemplo, as senhas com informações pessoais são mais fáceis de adivinhar e as senhas mais curtas são mais fáceis de quebrar.
Aqui estão o que os especialistas dizem ser os problemas com senhas corporativas e conselhos para melhorar a segurança de senhas e autenticação.
- Exija o uso de um gerenciador de senhas. David Archer, Principal Cientista de Criptografia e Computação Multipartidária da empresa de consultoria e pesquisa de segurança Galois, recomenda que os usuários corporativos aproveitem os gerenciadores de senha para gerar e armazenar senhas longas com todas as opções do alfabeto (como letras maiúsculas e minúsculas) ativadas. Com um gerenciador de senhas instalado, os usuários devem ter apenas duas senhas de que precisam se lembrar, acrescenta: a senha para o aplicativo gerenciador de senhas e a senha para a conta de computador em que o usuário se conecta todos os dias.
- Exija o uso de autenticação multifator (MFA). A MFA inclui o que você sabe (uma senha), o que você possui (um dispositivo) e quem você é (uma impressão digital ou leitura de reconhecimento facial). Usar a MFA para exigir verificação, como um código enviado a um dispositivo móvel, além do uso de senhas fortes e exclusivas, pode ajudar a fornecer melhor proteção corporativa, afirma Justin Harvey, Líder Global de Resposta a Incidentes da Accenture Security.
- Não deixe que os usuários criem senhas com palavras do dicionário. Em um ataque de dicionário de força bruta, um criminoso usa um software que insere sistematicamente cada palavra em um dicionário para descobrir uma senha.
- O comprimento é importante, e as frases são mais longas do que palavras. Dito isso, uma ênfase de longa data em caracteres estranhos ou “especiais” que não são encontrados em palavras normais pode estar ignorando o quadro geral. “Senhas mais longas são muito mais difíceis de quebrar, criptograficamente falando, do que as mais curtas, mesmo quando há caracteres especiais envolvidos. Uma senha como ‘AN3wPw4u!’ é muito mais fácil para um cracker criptográfico automatizado do que uma senha como ‘SnowWhiteAndTheSevenDwarves'”, diz Tyler Moffitt, Analista de Segurança Sênior da Webroot.
- Afaste os usuários de senhas que incluam informações sobre eles. Não use nomes de cônjuges, animais de estimação, cidade de residência, local de nascimento ou qualquer outra informação de identificação pessoal em uma senha, pois essas informações podem ser deduzidas das contas de mídia social do usuário. Aleksandr Maklakov, CIO da MacKeeper, sugere o uso de uma senha longa, como “ImgoingtorunBostonMarathon2022”, que está vinculada aos seus objetivos pessoais, mas não inclui informações pessoais de fácil pesquisa.
- Eduque os usuários sobre o que torna uma senha forte. Uma senha forte não aparece em nenhum outro lugar do domínio público (como nos dicionários), não aparece em nenhum lugar privado (como outras contas que os usuários têm) e contém caracteres aleatórios suficientes que levaria uma eternidade para se adivinhar, diz Archer. Cameron Bulanda, Engenheiro de Segurança da Infosec, sugere uma demonstração ao vivo do processo de quebra de senha para esclarecer o assunto. “Embora muitas dessas ferramentas possam ser usadas para fins maliciosos, os profissionais de segurança podem usá-las para produzir um exemplo do mundo real de como adicionar complexidade às senhas protege os usuários de ataques”, diz ele.
- Realize auditorias de senha regularmente. O ideal é que sua organização use um sistema de autenticação que permita auditorias de senha, diz Tim Mackey, Principal Estrategista de Segurança do Synopsys Cybersecurity Research Center (CyRC). “Procure coisas como reutilização de senha entre os funcionários ou uso de palavras comuns ou palavras comuns com simples substituições de caracteres. Se você descobrir uma senha fraca, use o evento como uma oportunidade de aprendizado para os usuários”.
- Incentive os usuários a examinar suas próprias senhas. Existem vários recursos que permitirão aos usuários investigar o quão segura é uma senha em potencial antes de colocá-la em uso. Por exemplo, Maklakov, da MacKeeper, aponta para o teste de força de senha do My1Login, que informa quanto tempo levaria para um algoritmo típico quebrar sua senha, ou Have I Been Pwned?, que compara sua senha com um amplo banco de dados de credenciais hackeadas circulando no escuro rede.
- Não torne os erros vilões. Crie um ambiente no qual os funcionários se sintam confortáveis para levantar questões ou preocupações sobre segurança, especialmente se eles suspeitarem que podem ter escorregado, sugere Davey da 1Password.
Uma observação final: a sabedoria “tradicional” da senha está evoluindo, e muitos conselhos que antes eram dados como certos agora são considerados falhos ou ultrapassados. Por exemplo, a versão mais recente das diretrizes de senha do NIST, amplamente considerada o padrão ouro nesta área, desaconselha a prática comum de forçar os usuários a reenviar suas senhas regularmente, pois é oneroso para os usuários apresentarem vários senhas, e muitos acabam alterando suas senhas anteriores de maneiras previsíveis – apenas trocando os cifrões pela letra S, por exemplo.
O NIST também recomenda dar aos usuários a opção de tornar as senhas visíveis ao serem inseridas; isso torna os usuários mais propensos a criar senhas mais longas e complexas, o que mais do que equilibra a chance de que alguém com maldade possa ler a senha por sobre o ombro do usuário. A lição geral é que suas políticas de senha precisam evoluir, assim como o resto do seu programa de segurança. Isso não significa que você estava fazendo algo errado, apenas que opera em uma indústria dinâmica e em rápida evolução!
FONTE: CIO