Quase metade das passwords podem ser descobertas em menos de um minuto. Saiba como proteger a sua
Uma investigação exaustiva da Kaspersky a 193 milhões de passwords disponíveis na darknet revela que cerca de 87 milhões (45%) podem ser descobertas num minuto e apenas 44 milhões (23%) provaram ser suficientemente resistentes – decifrá-las demoraria mais de um ano. Os peritos da Kaspersky revelam quais as combinações de caracteres mais utilizadas na criação de uma password.
A telemetria da Kaspersky indica mais de 32 milhões de tentativas de ataque a utilizadores com passwords stealers em 2023. Estes números mostram a importância da ciber-higiene e de políticas de password atempadas.
Em Junho de 2024, a Kaspersky realizou um novo estudo e analisou 193 milhões de passwords, que foram encontradas no domínio público em vários recursos da darknet. Estes resultados demonstram que a maioria das passwords analisadas não eram suficientemente fortes e podiam ser facilmente comprometidas utilizando algoritmos inteligentes destinados a decifrar passwords.
A Kaspersky detalha a descrição da rapidez com que isso pode acontecer:
- 45% (87 milhões) em menos de um minuto.
- 14% (27 milhões) – entre um minuto e uma hora.
- 8% (15 milhões) – entre uma hora a um dia.
- 6% (12 milhões) – entre um dia e um mês.
- 4% (8 milhões) – entre um mês e um ano.
Os peritos identificaram apenas 23% (44 milhões) das passwords como resistentes – comprometê-las demoraria mais de um ano.
A maioria das credenciais analisadas (57%) tinham uma palavra do dicionário, o que reduz significativamente a sua força e complexidade. Entre as sequências de vocabulário mais populares, podem distinguir-se vários grupos:
- Nomes: “ahmed”, “nguyen”, “kumar”, “kevin”, “daniel”.
- Palavras populares: “forever”, “love”, “google”, “hacker”, “gamer”.
- Palavras óbvias: “password”, “qwerty12345”, “admin”, “12345”, “team”.
A análise mostrou que apenas 19% de todas as passwords representam uma combinação forte e difícil de decifrar – isto é, uma opção sem uma palavra padrão do dicionário, com letras minúsculas e maiúsculas, números e símbolos. Ao mesmo tempo, o estudo revelou que 39% dessas passwords também podiam ser adivinhadas utilizando algoritmos inteligentes em menos de uma hora.
O interessante é que os cibercriminosos não precisam de ter conhecimentos profundos ou equipamento dispendioso para comprometer as passwords dos utilizadores. Por exemplo, um processador potente de um computador portátil será capaz de encontrar a combinação correcta para uma password de oito letras minúsculas ou dígitos em apenas sete minutos.
Para além disso, as placas de vídeo modernas conseguem realizar a mesma tarefa em 17 segundos. Os algoritmos inteligentes que descobrem as passwords têm em conta a substituição de caracteres (“e” por “3”, “1” por “!” ou “a” por “@”) e sequências populares (“qwerty”, “12345”, “asdfg”).
«Inconscientemente, os seres humanos criam passwords ‘humanas’ – contendo as palavras do dicionário na sua língua materna, com nomes e números. Mesmo as combinações aparentemente fortes raramente são completamente aleatórias, pelo que podem ser adivinhadas por algoritmos», sublinha Yuliya Novikova, directora da equipa de Digital Footprint Intelligence da Kaspersky.
«Assim sendo, a solução mais fiável é gerar uma password completamente aleatória através de um gestor de passwords moderno e fiável. Estas aplicações podem armazenar de forma segura grandes volumes de dados e proporcionar uma proteção abrangente e robusta ao utilizador.»
Para reforçar a sua política de passwords, siga estas recomendações:
- Opte por um gestor de passwords: é quase impossível memorizar passwords longas e únicas para todos os serviços que utiliza, mas com um gestor de passwords, pode memorizar apenas uma password mestra.
- Utilize uma password diferente para cada serviço: mesmo que uma das suas contas seja comprometida, pode salvaguardar as restantes.
- Verifique se a sua password é forte: as frases usadas como passwords, denominadas de frase-passe, podem ser mais seguras quando são utilizadas palavras inesperadas. Mesmo que esteja a utilizar palavras comuns, pode organizá-las numa ordem invulgar e certificar-se de que não estão relacionadas. Existem também serviços online que o ajudam a verificar se uma password é suficientemente forte.
- Faça escolhas inteligentes: não utilize uma credencial que possa ser facilmente comprometida a partir das suas informações pessoais, como datas de aniversário, nomes de familiares, animais de estimação ou o seu próprio nome. Estes são frequentemente os primeiros palpites que um cibercriminoso tentará.
- Active a autenticação de dois factores (2FA): Embora não esteja directamente relacionada com a força da password, a activação da 2FA acrescenta uma camada extra de segurança. Mesmo que alguém descubra a sua password, precisará de uma segunda forma de verificação para aceder à sua conta. Os gestores de passwords modernos armazenam chaves de autenticação de dois factores e protegem-nas com os algoritmos de encriptação mais recentes.
- Optar por uma solução de segurança fiável aumentará a sua protecção. Esta solução monitoriza a Internet e a Dark Web e notifica o utilizador, em caso de necessidade de alteração de passwords.