CynoSure Prime, uma organização que se auto intitula “password research collective“, reverteram o hashes de quase 320 milhões de senhas hash fornecidas pela pesquisadora de segurança Troy Hunt através do banco de dados pesquisável Pwned Passwords.
Hunt disponibilizou o banco de dados Pwned Passwords para download para que os os prestadores de serviços pudessem usá-lo para evitar que os usuários escolhessem qualquer senha contida nele.
“Embora a lista negra de senhas vazadas de 320 m possa parecer uma boa idéia para melhorar a segurança da senha, isso pode ter conseqüências imprevisíveis sobre a usabilidade (ou seja, o nível de frustração do usuário)“, observou Cynosure Prime.
“As abordagens de lista negra convencional geralmente incluem as 10k senhas mais comuns para limitar as conseqüências de ataque de adivinhação de senha online. Até agora, não havia evidências para apoiar qual tamanho da lista negra oferece um equilíbrio ótimo “.
Mais do que técnicas de “crakeamento”, em sua publicação os pesquisadores mostraram que ao crackear as senhas mostraram como os usuários podem estar em risco se os serviços usados não aplicam proteções adequadas na encriptação de suas senhas.
Eles também mostraram quão fácil é para os criminosos criar enormes bancos de dados de senhas para usar em ataques de força bruta em contas sensíveis.
As senhas raramente são únicas e muitas vezes são reutilizadas em todos os serviços, apesar de especialistas em segurança incentivar a serem sempre originais e tão aleatórios quanto possível.
Ao “quebrar” o banco de dados criptografado de senhas, os pesquisadores mostraram os baixos padrões de segurança envolvidos na composição de muitas senhas – que devem ser mais longas e incluir caracteres menos previsíveis.
Dentre os resultados encontrados ressaltamos:
- O maior comprimento de senha encontrado foi de 400 carácteres
- A menor senha possui somente 3 carácteres
- 0,06% possuem 50 carácteres ou mais
- 96,67% das senhas são compostas por 16 carácteres ou menos
Recomendações
Steve Manzuik, diretor de pesquisa de segurança da Duo Security, pensa que as senhas não devem ser usadas como o único fator de autenticação e recomenda que os usuários aproveitem os gerenciadores de senhas.
“O principal problema é que as pessoas simplesmente não conseguem se lembrar de uma litania de senhas muito longas e complexas, é recomendável usar um gerenciador de senhas (muitos dos quais são gratuitos). O benefício é que você salve todas as suas senhas em um cofre criptografado e então você só precisa se lembrar de uma única senha para acessar o cofre “, ele observou.
“Além disso, a autenticação de dois fatores (2FA), que parece assustadora, mas realmente muito simples, protege você no caso de um invasor conseguir obter seu nome de usuário e senha. Esta camada extra de segurança permite que você bloqueie um invasor, ou qualquer pessoa que não seja você, de poder entrar em suas contas depois de inserir suas credenciais de login. “
fonte CynoSure Prime & HelpNetSecurity pro MindSec 06/09/2017
1 Trackback / Pingback