http://www.dilbert.com/
Estamos surpresos de como as pessoas são criativas quando o assunto é criar senhas fáceis. As óbvias e fracas combinações como "1234" ou "qwert" junto com os nomes e números de telefone são muito comuns entre os usuários.
Alguns dados
Nossa história começa com a briga contra um tipo muito comum de malware, o Bicololo, que é um spyware projetado para roubar a identidade dos usuários das redes sociais, especialmente as da Rússia. Uma tarefa rotineira você diria. Mas desta vez os autores foram menos cautelosos com as configurações dos seus servidores falsos e foi possível obter centenas de credenciais com facilidade. O que fazer com elas? A primeira coisa que foi feita pelos técnicos do avast! foi entrar em contato com a equipe de suporte destas redes sociais para que eles avisassem os usuários que deveriam reconfigurar suas senhas. Infelizmente, nossos esforços não deram em nada: eles nem se deram ao trabalho de responder ao nosso email! Por isso, em vez de avisar centenas de usuários inocentes, utilizamos esta oportunidade única para analisar os hábitos dos usuários com relação às suas senhas e compartilhar com os leitores do nosso blog.
Assim que limpamos os dados, recebemos cerca de 850 combinações únicas de pares usuário/senha. Não é um número significativo de resultados para ser estatisticamente representativo. Os dados foram obtidos de um grupo específico de usuários (menos experientes) que carecem do conhecimento necessário para evitar que seus computadores fossem infectados. De qualquer forma, parece-nos que a realidade geral deve ser bem próxima desta pequena amostra. Ainda que as nossas descobertas não sejam cientificamente exatas, elas nos dão uma ideia do problema e nos mostram alguns exemplos do que devemos evitar ao escolher nossas senhas.
A rede social
Propositadamente, não revelaremos o nome da rede atingida, ainda que descreveremos quais credenciais elas utilizam. O nome do usuário pode ser um endereço de email ou um número de telefone. Você pode fornecer ambos quando se registra e eles pedem que você os confirme. Uma vez que você tente fazer login a partir de um local pouco comum, eles pedem que você forneça algumas informações adicionais para ter certeza de que é você mesmo. É uma boa função de segurança. O que é menos positivo no entanto é que esta informação adicional é novamente o número do telefone. A maioria das pessoas (69%) que tiveram seus dados roubados utilizaram o seu número de telefone como o seu nome de usuário. Portanto, para a maioria das contas roubadas, os hackers podem fazer login sem nenhum problema.
Os exemplos mais assustadores
Deixem-nos começar pelos piores casos. A descoberta mais terrível foi que alguns usuários (menos de 1%) utilizaram o mesmo texto para o nome do usuário e sua própria senha. Por favor, evite isto a qualquer custo!
Outras senhas a serem evitadas são o endereço residencial e emails. Obviamente, utilizar qualquer informação pública sobre você não é uma boa ideia. Felizmente, estes casos são raros (menos de 1%).
Cerca de 4% dos usuários assumiram senhas estritamente numéricas entre 7 e 11 caracteres. Eram combinações simples de números como 123456789, 987654321, 147258369 ou 332211, datas de nascimento e números de telefone. A pior senha que vimos nesta categoria foi 11111. É óbvio que estas senhas não irão lhe proteger.
Outros 5% dos usuários tinham como senhas uma palavra simples e comum, como um nome ou marcas como samsung, lenovo, ou adidas. Outra pessoa utilizou simplesmente um grupo de letras como rrrrrr ou o nome de sites comuns.
10% utilizaram diferentes variações de qwerty e 1234 dentro das suas senhas como, por exemplo, qwerty123456, qwerty[ano] ou 1234[nome]. Ainda que isto possa não ser óbvio para muitos usuários da internet, os hackers conhecem este hábito e usam dicionários cheios deste tipo de senhas, que podem ser facilmente quebradas.
Senha longa: a boa senha
Muitos especialistas defendem que o único fator que realmente importa é o tamanho da senha. Deste ponto de vista, 44% das pessoas utilizam senhas fracas e somente 28% utilizam o que se pode considerar uma senha boa ou forte.
Ainda que naquela amostra haja muitos exemplos longas e boas senhas, ficamos realmente surpresos de que somente uma incluísse um espaço. Durante anos, utilizamos senhas que são difíceis de lembrar e fáceis de serem descobertas por um computador. Por que em vez disso não utilizamos várias palavras simples, ou uma frase? É muito mais simples de lembrar e muito mais fortes do que a maioria das senhas a que tivemos acesso. Ninguém parece estar fazendo isto. Algumas vezes, até os técnicos de informática forçam os usuários a escolher senhas terríveis. Por exemplo, os bancos podem obrigar o uso de dígitos em suas senhas, mas não permitem o uso de um espaço simples.
Quem quiser ler mais sobre senhas fortes, recomendamos a leitura do artigo Six tips to bombproof your password ou um dos antigos artigos do nosso blog, ou ainda LinkedIn and eHarmony passwords databases leaked.
Por que eles estão roubando os dados das contas?
Por que eles fazem isto e fazem grandes esforços para roubar as credenciais das contas? Obviamente, a razão não é obter as fotos das suas férias. Como o dinheiro está por trás da maioria dos esforços, a pergunta certa é que lucro um hacker poderá obter dos dados roubados?
Definitivamente, há muitas maneiras de transformar estes dados em dinheiro, mas um deles merece ser destacado aqui. Pesquisadores mostram que a reutilização da senha é uma tendência comum (cerca de 50%). E muito provável que a sua senha em uma rede social esteja sendo utilizada para sua conta bancária também, e isto significa que os cibercriminosos podem roubar o seu dinheiro com facilidade. Por isso, não utilize a mesma senha em diferentes lugares, especialmente para os serviços realmente importantes.
Se você tem dificuldade de memorizar todas as diferentes senhas que precisa manter, recomendamos o uso da nossa ferramenta EasyPass, que pode fazer todo o trabalho para você.
Conclusão
Se você estiver utilizando os padrões fracos de senha de que estivemos falando, por favor, atualize-os para algo mais difícil (mais longo). E lembre-se de nunca contar as suas senhas para ninguém, especialmente nunca as envie pelo telefone ou por email. Mesmo que o avast! Antivírus proteja você contra várias tentativas de roubo dos seus dados, nunca é demais ser cuidadoso.
Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.