Senhas, vazamento de senha LinkedIn e as políticas de senhas
Vemos inúmeras pesquisas de Worst Passwords of 20XX, e todos os anos nos deparamos com as mesmas senhas básicas, simples e fáceis, alguns assuntos nos chamam mais a atenção, fiz um paralelo com a minha vida pessoal/profissional e realizado o levantamento de um cofre de senha que uso a pouco tempo, ele consegue me dar maior agilidade e flexibilidade, abri ele e visualizei um relatório das contas, tomei um susto são 77 logins e senhas armazenados ali, claro não sou um usuário comum, com sistemas web, banco de dados, contas ftp e outras, mas me pergunto se seria humanamente possível gerenciar sem a ajuda de uma ferramenta 77 logins e senhas distintos apenas de cabeça?
Tendo em mente que todas as minhas senhas possuem no mínimo 11 caracteres, contendo maiúsculas/minusculas, números e carácter especial (pelo menos um arroba), outras formo com frases e pego a letra da frase para montar a senha, ali já incluo exclamação, E comercial, cifrão, etc.
Agora vamos pensar e incluir nossa vida corporativa, com mais algumas dezenas de logins e senhas que devemos novamente decorar, criar senhas complexas e longas o suficiente, outra boa prática é que seja dividido senhas de acesso comum com senhas de acesso administrativos que por sua vez, deverão ter uma política de senha mais complexa, 18 caracteres, incluindo toda a complexidade que como profissionais de segurança apresentamos em nossas documentações, workshop de segurança e comunicados.
Na tabela abaixo vemos as senhas dos últimos três anos publicado pela teamsid.com:
| Rank | Password 2015 | Password 2014 | Password 2013 |
| 1 | 123456 | 123456 | 123456 |
| 2 | password | password | password |
| 3 | 12345678 | 12345 | 12345678 |
| 4 | qwerty | 12345678 | qwerty |
| 5 | 12345 | qwerty | abc123 |
| 6 | 123456789 | 123456789 | 123456789 |
| 7 | football | 1234 | 111111 |
| 8 | 1234 | baseball | 1234567 |
| 9 | 1234567 | dragon | iloveyou |
| 10 | baseball | football | adobe123 |
| 11 | welcome | 1234567 | 123123 |
| 12 | 1234567890 | monkey | sunshine |
| 13 | abc123 | letmein | 1234567890 |
| 14 | 111111 | abc123 | letmein |
| 15 | 1qaz2wsx | 111111 | photoshop |
| 16 | dragon | mustang | 1234 |
| 17 | master | access | monkey |
| 18 | monkey | shadow | shadow |
| 19 | letmein | master | sunshine |
| 20 | login | michael | 12345 |
| 21 | princess | superman | password1 |
| 22 | qwertyuiop | 696969 | princess |
| 23 | solo | 123123 | azerty |
| 24 | passw0rd | batman | trustno1 |
| 25 | starwars | trustno1 | 000000 |
Após o vazamento de mais de 117 milhões de contas comprometidas do LinkedIn e logo surge uma lista das senhas e a quantidade de vezes que a mesma foi utilizada tem 2.202.597 usuários fazendo uso senhas consideradas fracas, como pode ser visto na tabela abaixo:
| Rank | Password LinkedIn | Frequency |
| 1 | 123456 | 753.305 |
| 2 | 172.523 | |
| 3 | password | 144.458 |
| 4 | 123456789 | 94.314 |
| 5 | 12345678 | 63.769 |
| 6 | 111111 | 57.210 |
| 7 | 1234567 | 49.652 |
| 8 | sunshine | 39.118 |
| 9 | qwerty | 37.538 |
| 10 | 654321 | 33.854 |
| 11 | 000000 | 32.490 |
| 12 | password1 | 30.981 |
| 13 | abc123 | 30.398 |
| 14 | charlie | 28.049 |
| 15 | linked | 25.334 |
| 16 | maggie | 23.892 |
| 17 | michael | 23.075 |
| 18 | 666666 | 22.888 |
| 19 | princess | 22.122 |
| 20 | 123123 | 21.826 |
| 21 | iloveyou | 20.251 |
| 22 | 1234567890 | 19.575 |
| 23 | Linkedin1 | 19.441 |
| 24 | daniel | 19.184 |
| 25 | bailey | 18.805 |
| 26 | welcome | 18.504 |
| 27 | buster | 18.395 |
| 28 | Passw0rd | 18.208 |
| 29 | baseball | 17.858 |
| 30 | shadow | 17.781 |
| 31 | 121212 | 17.134 |
| 32 | hannah | 17.040 |
| 33 | monkey | 16.958 |
| 34 | thomas | 16.789 |
| 35 | summer | 16.652 |
| 36 | george | 16.620 |
| 37 | harley | 16.275 |
| 38 | 222222 | 16.165 |
| 39 | jessica | 16.088 |
| 40 | ginger | 16.040 |
| 41 | michelle | 16.024 |
| 42 | abcdef | 15.938 |
| 43 | sophie | 15.884 |
| 44 | jordan | 15.839 |
| 45 | freedom | 15.793 |
| 46 | 555555 | 15.664 |
| 47 | tigger | 15.658 |
| 48 | joshua | 15.628 |
| 49 | pepper | 15.610 |
| Total de usuários | 2.202.597 | |
Agora vem algumas perguntas:
Até que ponto é viável seguir todas as recomendações de segurança em nossas vidas?
Até que ponto podemos esperar que as pessoas consigam gerenciar cada vez um número maior de contas?
Agora no ambiente corporativo:
Até que ponto a TI está preparada para prover uma solução eficiente e eficaz ao problema apresentado?
Será que as organizações estão preocupadas com o potencial risco que essas dezenas de senhas que devemos memorizar, trocar regularmente e não repetir por um período não inferior a 8 meses, acrescenta a organização?
Existem ferramentas que proporcionam uma gestão eficaz das senhas dentro de uma organização, exemplo é o próprio Single sign-on, uma tecnologia já antiga e muito pouco utilizada dentro das empresas, mas ela deve ser utilizada com cuidado, basicamente uma senha comprometida proporciona acesso ao ambiente completo.
Mas essa tecnologia não deve ser utilizada para tudo, acessos administrativos devem fazer uso de outra tecnologia de cofre de senha com provisionamento automático de operador, basicamente o sistema cria um operador para acesso único, esse operador terá perfil administrativo e após o encerramento da tarefa o operador é descartado, com isso nunca se fará uso do mesmo operador e senha uma segunda vez.
Há diversas pesquisas para a substituição da senha como a conhecemos por uma tecnologia que permita executar o login por um item pessoal como um token ou o próprio celular, que é um dispositivo que carregamos constantemente conosco.
