DATA DA PUBLICAÇÃO 19/06/2012 | Tecnologia
Vazamento de senhas revela preferência de usuários por padrões manjados
Na primeira semana de junho, eHarmony, Last.fm e LinkedIn confirmaram o vazamento das senhas de milhões de seus usuários.
Roubadas das bases de dados dos sites, as senhas estavam criptografadas, mas isso não impediu que hackers descobrissem muitas delas.
No caso do LinkedIn, por exemplo, 60% das senhas vazadas já tinham sido decodificadas um dia depois do anúncio do vazamento, segundo a empresa de segurança Sophos. A violação foi especialmente fácil para senhas com padrões muito comuns.
Anderson Tamborim, especialista em segurança da informação da TrustSign, explica que vários programas hackers usam dicionários como base de seus ataques, já que a maioria das pessoas recorre a palavras existentes no léxico para criar senhas. "As que remetem a palavras comuns, que você encontra em qualquer dicionário, são as menos recomendáveis."
Após o vazamento de dados do LinkedIn, a empresa de segurança da informação Rapid7 fez uma lista das palavras mais comuns em senhas de usuários da rede social de relações profissionais, baseada em 165 mil senhas desvendadas.
As palavras "link", "work" (trabalho, em inglês) e "job" (emprego), que têm relação óbvia com o site, estavam entre as cinco mais comuns. Marcus Carey, especialista da Rapid7, diz que palavras bastante recorrentes do português e do espanhol eram "bonita", "entrar" e "princesa".
Apesar de as senhas terem vazado sem nomes de usuários correspondentes, ter uma lista limitada de possibilidades facilita o trabalho dos hackers para invadir contas.
LinkedIn, Last.fm e eHarmony admitiram os vazamentos e recomendaram aos usuários que alterassem suas senhas por meio de comunicados publicados em seus sites.
O LinkedIn afirmou em seu blog oficial que nenhum acesso não autorizado devido ao vazamento de senhas foi reportado até o dia 7.
Estratégia rara
Roubar bases de dados para ter acesso a contas é uma tática pouco usual, porque implica esforços sofisticados: invadir o site, violar a criptografia e obter os nomes de usuários correspondentes.
Segundo Anderson Tamborim, a estratégia mais comum é apostar na inocência do próprio usuário, postando um link malicioso sob uma roupagem de um serviço confiável: o chamado "phishing".
O gestor de marketing Fábio Leite, 36, perdeu propostas de trabalho e contatos de sua área por ter caído numa dessas armadilhas.
"Instalei um suposto antivírus, e o invasor pegou minha senha do Hotmail."
A senha só tinha números. Ele relatou a perda ao Hotmail, mas não obteve resposta. Hoje, usa o Yahoo! Mail.
Fernanda Pascale, advogada especialista em direito digital, diz que "a empresa não tem responsabilidade legal se o uso não autorizado da senha partiu de falta de cuidado do detentor da conta".
Invadir uma conta não é crime no Brasil, diz Fernanda. A pessoa só pode ser incriminada se ferir alguma lei a partir da invasão, como violar a intimidade da vítima.
Roubadas das bases de dados dos sites, as senhas estavam criptografadas, mas isso não impediu que hackers descobrissem muitas delas.
No caso do LinkedIn, por exemplo, 60% das senhas vazadas já tinham sido decodificadas um dia depois do anúncio do vazamento, segundo a empresa de segurança Sophos. A violação foi especialmente fácil para senhas com padrões muito comuns.
Anderson Tamborim, especialista em segurança da informação da TrustSign, explica que vários programas hackers usam dicionários como base de seus ataques, já que a maioria das pessoas recorre a palavras existentes no léxico para criar senhas. "As que remetem a palavras comuns, que você encontra em qualquer dicionário, são as menos recomendáveis."
Após o vazamento de dados do LinkedIn, a empresa de segurança da informação Rapid7 fez uma lista das palavras mais comuns em senhas de usuários da rede social de relações profissionais, baseada em 165 mil senhas desvendadas.
As palavras "link", "work" (trabalho, em inglês) e "job" (emprego), que têm relação óbvia com o site, estavam entre as cinco mais comuns. Marcus Carey, especialista da Rapid7, diz que palavras bastante recorrentes do português e do espanhol eram "bonita", "entrar" e "princesa".
Apesar de as senhas terem vazado sem nomes de usuários correspondentes, ter uma lista limitada de possibilidades facilita o trabalho dos hackers para invadir contas.
LinkedIn, Last.fm e eHarmony admitiram os vazamentos e recomendaram aos usuários que alterassem suas senhas por meio de comunicados publicados em seus sites.
O LinkedIn afirmou em seu blog oficial que nenhum acesso não autorizado devido ao vazamento de senhas foi reportado até o dia 7.
Estratégia rara
Roubar bases de dados para ter acesso a contas é uma tática pouco usual, porque implica esforços sofisticados: invadir o site, violar a criptografia e obter os nomes de usuários correspondentes.
Segundo Anderson Tamborim, a estratégia mais comum é apostar na inocência do próprio usuário, postando um link malicioso sob uma roupagem de um serviço confiável: o chamado "phishing".
O gestor de marketing Fábio Leite, 36, perdeu propostas de trabalho e contatos de sua área por ter caído numa dessas armadilhas.
"Instalei um suposto antivírus, e o invasor pegou minha senha do Hotmail."
A senha só tinha números. Ele relatou a perda ao Hotmail, mas não obteve resposta. Hoje, usa o Yahoo! Mail.
Fernanda Pascale, advogada especialista em direito digital, diz que "a empresa não tem responsabilidade legal se o uso não autorizado da senha partiu de falta de cuidado do detentor da conta".
Invadir uma conta não é crime no Brasil, diz Fernanda. A pessoa só pode ser incriminada se ferir alguma lei a partir da invasão, como violar a intimidade da vítima.
Assine nosso Feed RSSAs últimas | Tecnologia
21/09/2018 | Brasileiro fica quase 3 horas por dia assistindo a vídeos online; aumento foi de 135% em 4 anos
19/09/2018 | Sony anuncia PlayStation Classic, versão mini do PS1 com 20 jogos na memória
18/09/2018 | A curiosa razão por que o relógio sempre marca 9:41 nos anúncios da Apple
As mais lidas de Tecnologia
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda