Estudo revela padrão no reúso e troca de senhas

Estudo revela padrão no reúso e troca de senhas.  Senhas vazadas de violações de dados podem representar uma séria ameaça se os usuários reutilizarem ou modificarem um pouco as senhas de outros serviços. Com mais e mais serviços online sendo violados hoje, ainda há uma falta de compreensão quantitativa em larga escala dos riscos de reutilização e modificação de senha.

Neste sentido, Chun Wang, Steve T.K. Jan, Hang Hu, Douglas Bossart e Gang Wang do Departamento de Ciência da Computação, Virginia,  realizaram uma primeira análise empírica em larga escala de padrões de reutilização e modificação de senhas usando um conjunto de dados do tipo ground-truth de 28,8 milhões de usuários e suas 61,5 milhões de senhas em 107 serviços ao longo de 8 anos.

Os pesquisadores descobriram que a reutilização e modificação de senha é um comportamento muito comum (observado em 52% dos usuários). Mais surpreendentemente, serviços online confidenciais, como sites de compras e serviços de e-mail, receberam as senhas mais reutilizadas e modificadas. Também foi observado que os usuários ainda reutilizaram as senhas já vazadas de outros serviços online por anos após a violação de dados inicial.

Senhas podem ser quebradas em 10 tentativas

Para quantificar os riscos de segurança, os pesquisadores desenvolveram um novo algoritmo de adivinhação baseado em treinamento. Avaliações extensas mostram que mais de 16 milhões de pares de senhas (30% das senhas modificadas e todas as senhas reutilizadas) podem ser quebradas em apenas 10 tentativas. O resultado sugere que mecanismos mais proativos são necessários para proteger as contas de usuários após grandes violações de dados.

 

Veja também:

 

Para facilitar pesquisas futuras, os pesquisadores compartilharam o conjunto de dados de senhas com a comunidade de pesquisa. Ao mesmo tempo, para evitar que o conjunto de dados seja mal utilizado, procuraram seguir uma política conservadora de compartilhamento de dados:

  1. Removeram os endereços de email e substituíram por pseudo identificadores.
  2. Removeram os nomes dos serviços online violados do conjunto de dados.

O arquivo compartilhado com a amostra consiste em 1000 usuários aleatórios e seus registros de senha em diferentes serviços e pode ser baixado no link DOWNLOAD DATA SAMPLE

No momento, os pesquisadores estão limpando o conjunto de dados completo, que estará disponível após a conferência. Se você deseja acessar mais dados, envie um email para hanghu[AT]vt.edu e inclua as seguintes informações:

  • Descreva brevemente sua posição e instituição de pesquisa.
  • Descreva brevemente seu plano de uso de nosso conjunto de dados.

Os pesquisadores pedem que se você quiser usar o conjunto de dados para sua pesquisa, que como fonte o  seguinte artigo:

Chun Wang, Steve T.K. Jan, Hang Hu, Douglas Bossart, Gang Wang.
In Proceedings of The ACM Conference on Data and Applications Security and Privacy (CODASPY). Tempe, AZ, March 2018.

 

Fonte Gang Wang 2018

 

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Air Canada força 1,7 Mi de usuários a trocar sua senha

Deixe sua opinião!