A organização SplashData realizou um estudo das piores senhas utilizadas nos últimos 05 anos (2011-2015) e publicou seu resultado.
Longinus Timochenco | Chief Information Security Officer – CISO Controles Internos SPC Brasil
Por Longinus Timochenco*
Este por sinal mostrou que ainda algumas pessoas não dão a devida importância neste tema tão importante. Segundo a organização, cerca de 03 segundos é o suficiente para violar uma senha fraca.
Há anos tem ocorrido uma guerra entre organizações, pessoas e crackers, pois toda vez que alguma organização tem algum ataque, todos os usuários têm que realizar alteração de senha por questão de segurança.
Algumas organizações e usuários finais estão utilizando várias técnicas para prevenir ou impedir violações de dados. Como a tecnologia vem evoluindo rapidamente, serviços em nuvem de armazenamento e outros mais, muitos já utilizam serviços para gerenciar senhas. Vale ressaltar que como qualquer serviço, é necessário ficar atento ao que ele nos oferece de proteção, visto que você poderá armazenar todas suas senhas em um único local.
Lições aprendidas nos últimos 05 anos de estudos
Muitas organizações e usuários finais não pensam muito para criar uma senha, contudo a senha continua sendo vital para segurança na internet.
A organização vem aconselhando ao longo do tempo organizações e usuários a corrigirem o problema na origem, antes que o pior aconteça.
2011
As top piores senhas foram: password, 123456, 12345678, qwerty, abc123, monkey, 1234567, letmein, trustno1 e dragon;
Usuários complacentes com senhas que são facilmente adivinhadas, raramente realizam alteração e as utilizam em diversos sites; Utilizam as mesmas senhas em ambientes financeiros; Vários incidentes afetaram grandes companhias nos Estados Unidos, como bancos e varejos; Organizações começaram a investir em criptografia de dados com base em nuvem;
2012
As top piores senhas foram: password, 123456, 12345678, abc123, qwerty, monkey, letmein, dragon, 111111 e baseball;
Tiveram novas entradas como: welcome, Jesus, ninja e mustang;
Grandes sites tiveram incidentes com senhas como: Yahoo; LinkedIn e eHarmony;
Usuários continuam a utilizar uma senha fraca;
Provedores que utilizam a nuvem começaram a reformar a segurança de rede e soluções de criptografia de senhas;
2013
As top piores foram: 123456, password, 12345678, qwerty, abc123, 123456789, 111111,1234567, iloveyou e adobe123
Brechas de segurança da Adobe expos milhões de clientes;
Usuários continuam a utilizar uma senha fraca;
Mais combinações numéricas foram utilizadas;
Governo americano inicia a implantação de um sistema mais robusto de gerenciamento de senhas e política de proteção de dados depois de diversos incidentes que ameaçaram plataformas federais online.
2014
As top piores foram: 123456, password, 12345, 12345678, qwerty, 123456789, 1234, baseball, dragon e football;
O relatório demonstrou que é necessário manter fora das senhas: nomes, padrões numéricos simples, palavrões, esportes;
Mais de 3.3 milhões de senhas vazadas foram analisadas durante o ano;
Senhas 123456 e password continuam entre os dois primeiros colocados desde 2011.
2015
As top piores foram: 123456, password, 12345678, qwerty e 12345;
Esportes continuam a ser temas de senhas populares, possível identificar através da análise das 25 piores senhas utilizadas;
O relatório de 2015 foi criado a partir de mais de 02 milhões de senhas comprometidas;
Como nas listas do passado, as senhas numéricas continuam a ser carro chefe, com seis das top 10 de 2015;
Empresas americanas continuam a investir montantes significante em soluções de segurança na nuvem, criptografia de dados e gerenciamento de senhas.
Grupos de Risco
Na era da internet, pessoas podem ter dezenas ou centenas de senhas, que vão de sites financeiros a sites de diversão.
Segundo pesquisa realizada pela WP Engine alguns grupos parecem estar com maior risco no quesito senhas, sendo eles:
Pessoas com 60 ou mais anos de idade;
Mulheres entre 30 e 45 anos de idade;
Adolescentes;
Políticos e CEOs;
Usuários que realizam autenticação em mais de dois dispositivos. Na pesquisa da SplashData também se identificou que fãs de esportes acabam utilizando nomes de times, jogadores e mascotes na confecção de senhas.
No geral, a possibilidade de ter suas senhas roubadas está cada dia maior. Grupos do setor responde a estas ameaças criando várias opções e que por vezes acabam abrindo outras vulnerabilidades devido aos procedimentos que nem sempre são seguidos pelos usuários por serem burocráticos e necessidade de ter em mente várias senhas complexas, perguntas e respostas de segurança.
Sendo assim, soluções de gerenciamento de senhas podem ser ótimas opções para aumentar a segurança e simplificar o processo de acesso ao ambiente.
Ferramentas de proteção de senhas
Muitas organizações oferecem soluções de proteção de senhas, das mais simples as mais sofisticadas. Durante os 05 anos de estudos, a SpleshData descobriu que os mais sofisticados possuem devem possuir:
Aplicação segura e nativa para smartphone, tablet e desktops;
Criptografia forte;
Sincronização com opção de escolha de nuvem ou serviços de wifi local;
Backup automatizado;
Categorização e compartilhamento;
Recurso de preenchimento automático;
Recurso para importação de senhas;
Gerador de senhas;
Notas seguras;
Múltiplos fatores de autenticação;
Dicas e melhores práticas
Nada é 100% garantido, mas ao longo dos 05 anos a SplashData forneceu algumas dicas para melhorar e reduzir os riscos:
Evite utilizar o mesmo usuário e senha em diversos sites, o risco aumenta quando utilizado a mesma combinação para sites do tipo financeiro, e-mail e entretenimento;
Utilize no mínimo 12 caracteres, para facilitar, crie senhas com pequenas palavras e espaços ou caracteres para separa-las, além de caracteres especiais;
Nunca utilize datas de nascimentos, nomes, esportes favoritos como senha;
Limitar o número de dispositivos que você acessa as aplicações, pois nem todas as plataformas tem segurança para todos os dispositivos, como por exemplo, um smartphone. O estudo fala muito em utilização de um gerenciador, não sou contra esta utilização, contudo é necessário se atentar ao contrato e o que a solução realmente oferece de proteção para nosso ambiente corporativo e pessoal, da mesma forma que deve ser avaliado qualquer solução em nuvem.
* Longinus Timochenco | Chief Information Security Officer – CISO Controles Internos SPC Brasil
Mini bio: Chief Information Security Officer – SPC Brasil – Executivo e Especialista em Segurança da Informação, Cyber Security, Palestrante, a mais de 21 anos de experiência em Tecnologia. Forte atuação em Governança, Risco & Fraude e Compliance, Gestão de TI, membro do Comitê Brasil de Segurança da Informação ISO IEC JTC1 SC 27 na ABNT Brasil. Consultorias (Accenture, KPMG, TIVIT, BT-British Telecom etc…) Para grandes empresas globais no Gerenciamento de projetos estratégicos, auditorias, combate a Crimes Cibernéticos. Cases de sucesso com empresas nacionais e internacionais como Oracle, Checkpoint, Rapid7, Pentest Magazine, Projetos IT Green, Outsourcing de TI.
Sobre a SPC BRASIL: é um provedor de serviços e soluções que auxiliam empresas a proteger-se de prejuízos, maximizarem seus lucros e promover ações de vendas e cobrança. Maior Bureau de crédito e informações, possui 180 milhões de cadastros de Pessoas Físicas, 26 milhões de cadastros de Pessoas Jurídicas, 50 milhões de consultas/mês, 1,2 milhões de Associados. Além de serviços disponíveis 24 horas por dia, durante 07 dias por semana, ambiente Tecnológico de alta performance e rápida resposta 85% em até 1 segundo, 2.200 SPC´s no Brasil, presença em todos os estados, é o terceiro maior Certificador Digital no pais e atendo nos segmentos de Mercado – Varejo, Industria, Serviços, Financeiro e Atacado
Fonte: Digital Threats
