A análise a 32 milhões de passwords violadas evidenciou que a maioria ainda é fácil de descobrir.
Num relatório capaz de levar muitos administradores de TI às lágrimas, a companhia de segurança para bases de dados Imperva revela que a maioria dos utilizadores ainda recorre a passwords fáceis de memorizar, como “123456”, para aceder às suas contas.
De acordo com um estudo levado a cabo pelo fabricante, a maioria dos utilizadores empresariais facilita a vida aos hackers, insistindo em utilizar palavras-chave de fraca segurança.
A Imperva considera que os administradores de TI deveriam, por isso, impor políticas de uso de passwords mais seguras, bem como credenciais mais robustas para o acesso às aplicações, redes e sistemas corporativos.
Segundo o estudo da Imperva, baseado na análise a 32 milhões de palavras-chave expostas numa intrusão sofrida pela RockYou, um criador de aplicações para o Facebook, algumas das passwords utilizadas são tão simples como “123456”.
Além da fragilidade das próprias passwords, a RockYou cometeu o erro de as armazenar em formato de texto claro na base de dados que foi violada pelos hackers, tendo a Imperva tido acesso à mesma para realizar a sua análise porque o autor da intrusão publicou atodas as palavras-chave comprometidas na Internet.
A análise realizada a essa lista mostra que a maioria dos utilizadores não se preocupa com a robustez das suas passwords quando lhe é dada a possibilidade de as escolherem.
De aocrdo com o fabricante de soluções de segurança, 30 por cento das palavras-chave incluídas na lista continham seis ou menos caracteres, enquanto 60 por cento foram criadas a partir de um conjunto limitado de caracteres alfanuméricos. Quase 50 por cento dos utilizadores optou por nomes facilmente adivinháveis, palavras de calão comuns, cadeias formadas por letras de teclado adjacentes ou dígitos consecutivos.
Com efeito, a palavra-chave mais comum entre os utilizadores da RockYou era “123456”, seguida de “12345” e “123456789”. A quarta e quinta mais utilizadas eram “password” e “iloveyou”. Por outro lado, muitas das cinco mil palavras-chave mais utilizadas na companhia coincidiam com algumas das incluídas pelos hackers nos chamados dicionários de passwords, que estes utilizam nos seus ataques, como conta Amichai Shulman, CTO da Imperva. Em média, um atacante que recorra a este dicionário conseguia entrar numa conta da RockYou em cerca de um segundo, através da utilização de uma ferramenta de geração automática de palavras-chave.
O relatório da Imperva não é o primeiro a destacar a tendência para utilizar palavras-chave débeis em contas online. O que o destingue, no entanto, é o tamanho da amostra utilizada para a análise que deu origem ao relatório. Embora neste caso as passwords apenas dessem acesso a contas de reduzido valor em termos patrimoniais, estudos anteriores mostraram que os utilizadores tendem a recorrer à mesma password para múltiplas contas, incluindo bancárias.
O relatório da Imperva surge numa altura em que os ciber-criminosos perseguem cada vez mais as credenciais dos utilizadores como método preferencial para chegarem às redes empresariais.
Em Novembro do ano passado, por exemplo, o Internet Crime Complaint Center do FBI reportou que os ciber-criminosos tentaram roubar cerca de 100 milhões de dólares de bancos norte-americanos através do roubo e utilização de credenciais de log-in de clientes. O FBI diz que todas as semanas há novos casos de tentativa de fraude online e, em muitas situações, os criminosos recorrem a programas Trojan de keystroke, ou seja, de registo de teclas pressionadas, para roubar as credenciais de log-in dos clientes e ordenar transferências bancárias para as suas próprias contas.
Este tipo de ataque sublinha a necessidade de um maior controlo de acesso e medidas de autenticação de utilizadores mais apertadas. O conselho da Imperva aos administradores de TI é que apliquem politicas severas quanto à utilização de passwords seguras. “Se deixarem o utilizador escolher a sua palavra-chave de acordo com a sua conveniência, ele seguramente acabará por escolher uma que seja fácil de violar”, diz Amichai Shulman.
O relatório da Imperva diz também que as empresas deveriam implementar controlos que impeçam a realização de ataques “de força bruta”, em que os hackers procuram entrar numa conta tentando adivinhar a password através de uma ferramenta automática. Implementar obstáculos como o sistema CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) é uma boa forma de minigar o seu sucesso, diz a Imperva.
O relatório conclui dizendo que os administradores também precisam de implementar sistemas de alteração de passwords periodicamente e estimular a utilização de frases-chave em vez de palavras-chave.