Senhas frágeis são principal vulnerabilidade na segurança de dados

O principal problema de segurança de dados de usuários domésticos ou corporativos pode ter uma causa bem mais banal do que possamos imaginar: a má escolha de senhas. Essa conclusão foi apresentada no congresso RootedCon 2019, em Madri, pelos pesquisadores Pablo Caro Martín, engenheiro informático da Telefónica, e Jaime Sánchez, que se autointitula “hacker e especialista em segurança”.

O trabalho de Martín e Sánchez tem o curioso nome de “I know your P4$$w0rd (and if I don’t, I will guess it)”, que já traz, de certa forma, um resultado da pesquisa. Segundo o levantamento dos dois especialistas, pode-se dividir as senhas de segurança para uso informático em três tipos: as fáceis de serem rompidas, que são cerca de 20%, as médias, que são 60%, e as difíceis, que representam os restantes 20%.

Como suposto, as fáceis são aquelas que fazem referências a nomes de pessoas queridas, locais de nascimento, animaizinhos de estimação; datas de nascimento próprio ou dos filhos, casamento, ordenadas de maneira linear ou ao contrário. “É comum que os ataques mais simples a este tipo de senha se baseiem simplesmente em girar um dicionário da língua local ou do inglês para que o efeito danoso seja produzido”, afirma o especialista em tecnologia Arie Halpern.

Mas o resultado mais interessante do estudo é que – ao tentar adicionar complexidade à senha – os usuários tendem a agir da mesma maneira, o que, de certa forma, é um contrassenso. E como exemplo está o próprio nome da apresentação na RootedCon: a palavra “password”, “senha” em inglês, alterada para P4$$w0rd, substiuindo-se as letras do alfabeto latino por números e símbolos, mas de uma maneira banal e previsível. Essas são as senhas de nível médio: não tão fáceis quanto o nome do seu Totó, mas não muito mais difíceis do que To70#.

Por fim, entram os 20% de senhas consideradas difíceis, que são aquelas produzidas por geradores de senha automatizados. Os autores do artigo dão como exemplo a senha m@4#J%CN5P, que reúne letras maiúsculas e minúsculas, números e caracteres especiais, mas de maneira aleatória. Essa senha com dez dígitos, segundo a pesquisa, seria uma possibilidade entre 60.510.648.114.517.017.120. Isso significa que, para ser quebrada por um processador com capacidade de gerar 450 bilhões de hashes por segundo, ela levaria 4 anos, 266 dias, 23 horas e 47 minutos, a um custo de quase US$ 350 mil. “Trata-se de um outro padrão de segurança, simplesmente evitando que a senha tenha um correspondente semântico na língua”, comenta Halpern.

Investimentos e prejuízos

Outra pesquisa, chamada Cyber Resilient Organization 2019, confirma essa situação. Ela foi conduzida pelo Instituto Ponemon, encomendada pela IBM, e buscou mapear insights de mais de 3.600 profissionais de segurança e TI de todo o mundo, incluindo Estados Unidos, Canadá, Reino Unido, França, Alemanha, Brasil, Austrália, Oriente Médio e Ásia-Pacífico. Esse é o quarto estudo anual de benchmark sobre resiliência cibernética, ou seja, a capacidade de uma organização de manter seu objetivo e integridade ao sofrer ataques cibernéticos.

Essa pesquisa acabou por constatar como ainda há um longo caminho a percorrer para que os padrões de segurança sejam melhorados frente aos novos desafios. Apenas 23% dos entrevistados disseram que eram usuários significativos de automação contra invasões, enquanto 77% relataram que só usam a automação de forma moderada, insignificante ou não utilizam, ou seja, trabalham de forma intuitiva e amadora para se prevenir e conter ataques. A pesquisa indicou ainda que organizações com o uso tido como extensivo da automação avaliam sua capacidade de prevenir (69% vs. 53%), detectar (76% vs. 53%), responder (68% vs. 53%) e conter (74% vs. 49%) um ataque cibernético como superiores em comparação à amostra geral dos entrevistados.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *