As senhas fazem parte da TI desde o início, há mais de meio século. Dado que as senhas tiveram uma longevidade sem precedentes, poder-se-ia deduzir que as práticas de segurança de senhas foram refinadas ao ponto da perfeição e que as medidas recomendadas para o uso delas são uma garantia para mantê-las seguras. No entanto, o primeiro relatório anual sobre senhas fracas da Specops Software, fornecedora de soluções de autenticação e gerenciamento de senhas, traz alguns resultados interessantes que podem fazer as organizações a repensarem a maneira como gerenciam senhas.
A seguir, a empresa elenca alguns conclusões do estudo:
1. O comprimento da senha não garante a segurança
Uma das práticas recomendadas de senha mais antigas é a ideia de que ala precisa ter ao menos oito caracteres. Essa prática bem-intencionada é baseada na ideia de que senhas mais longas exigem mais recursos computacionais para serem quebradas. O problema disso, no entanto, é que os bancos de dados de senha vazados permitiram que os cibercriminosos criassem tabelas de pesquisa que podem ser usadas para revelar uma senha com base em seu hash (algoritmo), sem realmente ter que quebrar a senha, tornando o comprimento da senha muito menos problemático.
Essa ideia foi refletida no “Relatório sobre Senhas Fracas” de 2022, que descobriu que 93% das senhas usadas em ataques de força bruta incluíam ao menos oito caracteres. Da mesma forma, 41% das senhas usadas em ataques do mundo real têm doze ou mais caracteres. Essas estatísticas reforçam a ideia de que até mesmo senhas longas podem vazar.
2. A senha é muitas vezes sazonal ou influenciada pela cultura pop
O relatório descobriu que as senhas geralmente são sazonais e que também é comum que sejam influenciadas pela cultura pop. Quarenta e dois por cento das senhas sazonais, por exemplo, continham a palavra “verão”. E não são apenas as estações do ano que parecem influenciar o uso de senhas. Nomes de equipes esportivas também foram encontrados em listas de senhas vazadas.
Mas as equipes esportivas estão longe de ser a única referência da cultura pop encontrada em senhas. Artistas musicais mais vendidos como AC/DC, Kiss e Metallica são comumente incluídos em senhas, assim como filmes de sucesso como Star Wars, Homem-Aranha e Avatar. Para aqueles que podem estar curiosos, o filme mais referenciado nas senhas vazadas foi Rocky, que apareceu quase 96 mil vezes na pesquisa da Specops. Os personagens favoritos desses filmes também são comumente referenciados nas senhas.
3. A complexidade da senha não impede o roubo de credenciais
Outra prática recomendada de longa data é exigir complexidade de senha. Uma organização pode, por exemplo, exigir uma mistura de caracteres maiúsculos e minúsculos, números e símbolos. Mesmo assim, o relatório descobriu que 68% das senhas usadas em ataques reais incluíam ao menos dois tipos diferentes de caracteres. Havia mais de 20 milhões de senhas vazadas que incluíam letras maiúsculas e minúsculas e números, enquanto mais de 1,5 milhão de senhas vazadas incluíam letras maiúsculas e minúsculas, números e caracteres especiais.
Veja isso
63% menos risco graças a senha forte e update
Uma em cada 3 pessoas tenta adivinhar a senha de alguém
O fato de haver mais de 13 vezes senhas vazadas contendo apenas letras maiúsculas e minúsculas e números do que uma combinação de letras maiúsculas e minúsculas, números e símbolos pode sugerir que essa complexidade, embora não seja infalível, de fato ajuda com a segurança da senha. A explicação mais provável, no entanto, é que aqueles que usam senhas mais complexas provavelmente evitam os tipos de comportamento arriscado que muitas vezes levam ao roubo de credenciais.
4. A sobrecarga de senha é um grande problema
O relatório também descobriu que a reutilização de senhas é um grande problema.
A Specops recentemente pesquisou mais de 2 mil usuários para descobrir o papel que as senhas desempenham em seu dia a dia. Quarenta e oito por cento dos entrevistados na pesquisa indicaram que têm 11 ou mais senhas que precisam lembrar para trabalhar, e 71% disseram que têm 11 ou mais senhas para lembrar para uso pessoal. A pesquisa descobriu que 361 desses entrevistados admitiram usar a mesma senha ou senha semelhante em vários sistemas. Isso provavelmente é atribuído ao fato de que os usuários devem se lembrar de tantas senhas diferentes.
5. As organizações precisam fazer muito mais para manter as senhas segurasO simples fato de haver um banco de dados de senhas vazado contendo milhões de delas que seguem as “práticas recomendadas” há muito estabelecidas demonstra claramente a necessidade de as organizações fazerem mais para manter suas senhas seguras. Mesmo assim, o relatório constatou que 54% das organizações não possuem uma ferramenta para gerenciar senhas de trabalho. Além disso, 48% delas não possuem um mecanismo de verificação de identidade do usuário para sua central de serviços, o que expõe a central de serviços a riscos de engenharia social.
