24 bilhões de nomes de usuário e senhas nas mãos de cibercriminosos

24 bilhões de nomes de usuário e senhas nas mãos de cibercriminosos.  Pesquisadores encontraram mais de 24 bilhões de combinações de nome de usuário e senha em mercados online usados ​​por cibercriminosos, um aumento de 65% em apenas dois anos

A Digital Shadows relatou na quarta-feira, 15 de junho, mais de 24 bilhões de combinações de nome de usuário e senha em circulação nos mercados cibercriminosos, muitos na dark web – um número que representa um aumento de 65% em relação a um relatório anterior em 2020.

Os pesquisadores do Digital Shadows descobriram que as 50 senhas mais comuns são incrivelmente fáceis de adivinhar e simplesmente usam a palavra “password” ou uma combinação de números facilmente lembrados.

Eles descobriram que cerca de 0,46% de todas as senhas – quase uma em cada 200 – usam 123456. Combinações de sequencia de teclado como “qwerty” ou “1q2w3e” também são comumente usadas. Das 50 senhas mais usadas, os invasores podem quebrar 49 em menos de um segundo por meio de ferramentas fáceis de usar comumente disponíveis em fóruns criminais, que geralmente são gratuitas ou com custo mínimo.

No entanto, a boa notícia para o público é que adicionar um ‘caracter especial’ (como @ # ou _) a uma senha básica de 10 caracteres adiciona aproximadamente 90 minutos ao tempo que um ataque offline levaria para quebrar a senha. Adicionar dois caracteres especiais resulta em um tempo de quebra offline de aproximadamente 2 dias e 4 horas. Isso torna muito menos provável que uma pessoa seja vítima de um ataque com criminosos em vez de atacar contas que são mais fáceis de violar. 

Quando se trata de segurança cibernética, os humanos continuam sendo um alto risco e o principal alvo dos criminosos cibernéticos, disse Joseph Carson, cientista-chefe de segurança e CISO consultivo da Delinea. Carson disse que os consumidores precisam entender que nunca devem reutilizar senhas. 

As organizações que oferecem autenticação e login em seu site também devem deixar de ter uma senha como único controle de segurança”, disse Carson. “A autenticação de dois fatores deve ser habilitada para todos os clientes, pois isso reduz os riscos daqueles que reutilizam senhas de se tornarem vítimas de um crime cibernético. Além disso, usem gerenciadores de senhas para ajudar os clientes a fazer melhores escolhas e higiene de senhas ao criar novas contas e senhas.

Chris Clymer, diretor e CISO da MRK Technologies, disse que a reutilização de senhas continua sendo um problema predominante em todas as verticais. Clymer disse que os agentes de ameaças sabem muito bem que podem direcionar contas em sites menos valiosos e descobrem que trabalham em sites bancários mais confidenciais ou logins corporativos. Em muitos casos, Clymer disse que eles não precisam trabalhar duro, pois essas credenciais estão abertas em despejos de violação de dados muito públicos.

Essa é uma das muitas razões pelas quais a autenticação multifator e outros mecanismos de fortalecimento de autenticação se tornaram tão críticos… e agora necessários na maioria dos casos para obter cobertura de seguro cibernético”, disse Clymer. “Uma senha comprometida é menos valiosa se houver também um método de MFA que também deve ser direcionado. O hacker também pode comprometer isso, é claro, mas adiciona muito mais trabalho para os bandidos.

Joe Garber, CMO da Axiad, acrescentou que uma abordagem de segurança apenas com senha não faz mais sentido lógico, dadas as realidades de hoje. Garber disse que as senhas são caras e demoradas para gerenciar e disruptivas para os usuários finais, e os hackers podem facilmente roubá-las ou comprometê-las. 

Uma vez que eles são roubados, uma organização ficará mais suscetível a ataques de phishing, achará mais difícil detectar uma violação porque os hackers têm uma senha legítima e terá mais dificuldade em minimizar a zona de explosão quando um agente mal-intencionado obtiver acesso porque eles essencialmente têm as chaves do reino”, disse Garber. “É hora de as organizações adotarem uma abordagem que se concentre em credenciais, não em senhas. As credenciais são mais difíceis de roubar ou comprometer, são resistentes a phishing e apresentam menos atrito para administradores e usuários finais.” 

Recomendações

A Digital Shadows recomenda as seguintes etapas para manter as credenciais seguras:

  • Use um gerenciador de senhas – um gerenciador de senhas é um aplicativo em um telefone, tablet ou computador que armazena senhas, para que elas possam ser mais complexas e a pessoa não precise lembrá-las.
  • Use a autenticação multifator (MFA) onde os provedores de conta a oferecerem – isso pode confirmar a identidade e substituir senhas usando PINs, reconhecimento facial, impressões digitais ou inserindo uma chave USB
  • Use um aplicativo autenticador – eles geram um novo código aleatório de seis dígitos a cada 30 segundos que um usuário deve inserir no site que está tentando autenticar.

O relatório completo intitulado ‘Account takeovers in 2022: The 24-billion password problem‘ está disponível em: https://resources.digitalshadows.com/whitepapers-and-reports/account-takeover-in-2022/

Fonte: SC Magazine & Cision

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!