2020 ainda não acabou, mas já sabemos suas senhas favoritas

Assim como no ano passado, a comunidade de segurança de informações concluiu sua avaliação de fim de ano das práticas de senha e hábitos do usuário. Infelizmente, a visão geral para 2020 não é particularmente encorajadora.

Há muitos conselhos na Internet sobre segurança de senha. Nossos próprios artigos tratam do assunto com muita frequência. No entanto, parece que as pessoas são particularmente teimosas quando se trata de senhas e simplesmente se recusam a ouvir e aprender.

Acredite ou não, "123456" ainda é a senha mais comum entre as pessoas entrevistadas na pesquisa de segurança de senha. Os pesquisadores de segurança geralmente publicam uma métrica descrevendo a força estimada da senha - "tempo para força bruta", que se refere a quanto tempo um hacker ou um grupo de agentes mal-intencionados precisaria para quebrar uma senha específica. Essa métrica nem é aplicável quando se trata de senhas como "123456", já que a senha é usada demais, fácil de adivinhar e óbvia.

O segundo lugar no hall da vergonha da senha está reservado para "123456789". Parece que as pessoas ainda pensam que colocar mais números consecutivos em cadeia, um após o outro, torna a senha mais segura. Isso simplesmente não é o caso e nunca foi.

Outras strings de senha clássicas de longa data, como a palavra "senha", ainda aparecem entre as 10 senhas mais usadas para o ano de 2020. A única senha na lista das 10 principais que não é adivinhada por uma força bruta o script em questão de segundos é "picture1". Infelizmente, o tempo que um computador doméstico normal levaria para usar a força bruta de uma senha como "picture1" é de algumas horas, o que ainda significa que a senha está longe de ser segura.

Parece que as pessoas quase entendem alguns dos princípios de boas senhas, mas nunca os implementam bem, como a tentativa desastrada de misturar letras e números na string.

Qual é a diferença entre um segundo e vários séculos?

Para dar algum tipo de perspectiva sobre a força da senha, criamos uma senha de teste que usa um mash-up de duas palavras incomuns, resultando em uma string não encontrada em um dicionário, com vários símbolos e números jogados na mistura, e executou a sequência de 18 caracteres resultante por meio de um verificador de força de senha. O resultado foi que levaria cerca de centenas e centenas de anos para aplicar força bruta a essa string, mesmo usando uma grande rede de computação, tornando-a efetivamente intratável.

Nem sempre é preciso uma string de 20 símbolos para ter uma senha segura, basta misturar letras, símbolos e números em boa medida e nunca usar palavras simples que você pode encontrar no dicionário, como a maioria dos scripts de força bruta dependem enormes bancos de dados de dicionários para quebrar senhas.