Estudo revela padrão no reúso e troca de senhas. Senhas vazadas de violações de dados podem representar uma séria ameaça se os usuários reutilizarem ou modificarem um pouco as senhas de outros serviços. Com mais e mais serviços online sendo violados hoje, ainda há uma falta de compreensão quantitativa em larga escala dos riscos de reutilização e modificação de senha.
Neste sentido, Chun Wang, Steve T.K. Jan, Hang Hu, Douglas Bossart e Gang Wang do Departamento de Ciência da Computação, Virginia, realizaram uma primeira análise empírica em larga escala de padrões de reutilização e modificação de senhas usando um conjunto de dados do tipo ground-truth de 28,8 milhões de usuários e suas 61,5 milhões de senhas em 107 serviços ao longo de 8 anos.
Os pesquisadores descobriram que a reutilização e modificação de senha é um comportamento muito comum (observado em 52% dos usuários). Mais surpreendentemente, serviços online confidenciais, como sites de compras e serviços de e-mail, receberam as senhas mais reutilizadas e modificadas. Também foi observado que os usuários ainda reutilizaram as senhas já vazadas de outros serviços online por anos após a violação de dados inicial.
Senhas podem ser quebradas em 10 tentativas
Para quantificar os riscos de segurança, os pesquisadores desenvolveram um novo algoritmo de adivinhação baseado em treinamento. Avaliações extensas mostram que mais de 16 milhões de pares de senhas (30% das senhas modificadas e todas as senhas reutilizadas) podem ser quebradas em apenas 10 tentativas. O resultado sugere que mecanismos mais proativos são necessários para proteger as contas de usuários após grandes violações de dados.
Veja também:
- Pwned Password V2 aumenta sua base de senhas de 320 milhões para 501 milhões
- As Piores Senhas de 2017
- Pesquisadores Revertem 320 milhões de Password Hash
- Pesquisa Faz Ranking de Password de Sites na Internet
- Erros comuns na composição das passwords
- Como criar a Password Perfeita?
- Trocar de senhas periodicamente não é tão seguro quanto você pensa
Para facilitar pesquisas futuras, os pesquisadores compartilharam o conjunto de dados de senhas com a comunidade de pesquisa. Ao mesmo tempo, para evitar que o conjunto de dados seja mal utilizado, procuraram seguir uma política conservadora de compartilhamento de dados:
- Removeram os endereços de email e substituíram por pseudo identificadores.
- Removeram os nomes dos serviços online violados do conjunto de dados.
O arquivo compartilhado com a amostra consiste em 1000 usuários aleatórios e seus registros de senha em diferentes serviços e pode ser baixado no link DOWNLOAD DATA SAMPLE
No momento, os pesquisadores estão limpando o conjunto de dados completo, que estará disponível após a conferência. Se você deseja acessar mais dados, envie um email para hanghu[AT]vt.edu e inclua as seguintes informações:
- Descreva brevemente sua posição e instituição de pesquisa.
- Descreva brevemente seu plano de uso de nosso conjunto de dados.
Os pesquisadores pedem que se você quiser usar o conjunto de dados para sua pesquisa, que como fonte o seguinte artigo:
Fonte Gang Wang 2018
1 Trackback / Pingback