Senhas, vazamento de senha LinkedIn e as políticas de senhas

Vemos inúmeras pesquisas de Worst Passwords of 20XX, e todos os anos nos deparamos com as mesmas senhas básicas, simples e fáceis, alguns assuntos nos chamam mais a atenção, fiz um paralelo com a minha vida pessoal/profissional e realizado o levantamento de um cofre de senha que uso a pouco tempo, ele consegue me dar maior agilidade e flexibilidade, abri ele e visualizei um relatório das contas, tomei um susto são 77 logins e senhas armazenados ali, claro não sou um usuário comum, com sistemas web, banco de dados, contas ftp e outras, mas me pergunto se seria humanamente possível gerenciar sem a ajuda de uma ferramenta 77 logins e senhas distintos apenas de cabeça?

Tendo em mente que todas as minhas senhas possuem no mínimo 11 caracteres, contendo maiúsculas/minusculas, números e carácter especial (pelo menos um arroba), outras formo com frases e pego a letra da frase para montar a senha, ali já incluo exclamação, E comercial, cifrão, etc.

 Agora vamos pensar e incluir nossa vida corporativa, com mais algumas dezenas de logins e senhas que devemos novamente decorar, criar senhas complexas e longas o suficiente, outra boa prática é que seja dividido senhas de acesso comum com senhas de acesso administrativos que por sua vez, deverão ter uma política de senha mais complexa, 18 caracteres, incluindo toda a complexidade que como profissionais de segurança apresentamos em nossas documentações, workshop de segurança e comunicados.

Na tabela abaixo vemos as senhas dos últimos três anos publicado pela teamsid.com:

Rank Password 2015 Password 2014 Password 2013
1 123456 123456 123456
2 password password password
3 12345678 12345 12345678
4 qwerty 12345678 qwerty
5 12345 qwerty abc123
6 123456789 123456789 123456789
7 football 1234 111111
8 1234 baseball 1234567
9 1234567 dragon iloveyou
10 baseball football adobe123
11 welcome 1234567 123123
12 1234567890 monkey sunshine
13 abc123 letmein 1234567890
14 111111 abc123 letmein
15 1qaz2wsx 111111 photoshop
16 dragon mustang 1234
17 master access monkey
18 monkey shadow shadow
19 letmein master sunshine
20 login michael 12345
21 princess superman password1
22 qwertyuiop 696969 princess
23 solo 123123 azerty
24 passw0rd batman trustno1
25 starwars trustno1 000000

Após o vazamento de mais de 117 milhões de contas comprometidas do LinkedIn e logo surge uma lista das senhas e a quantidade de vezes que a mesma foi utilizada tem 2.202.597 usuários fazendo uso senhas consideradas fracas, como pode ser visto na tabela abaixo:

Rank Password LinkedIn Frequency
1 123456 753.305
2 linkedin 172.523
3 password 144.458
4 123456789 94.314
5 12345678 63.769
6 111111 57.210
7 1234567 49.652
8 sunshine 39.118
9 qwerty 37.538
10 654321 33.854
11 000000 32.490
12 password1 30.981
13 abc123 30.398
14 charlie 28.049
15 linked 25.334
16 maggie 23.892
17 michael 23.075
18 666666 22.888
19 princess 22.122
20 123123 21.826
21 iloveyou 20.251
22 1234567890 19.575
23 Linkedin1 19.441
24 daniel 19.184
25 bailey 18.805
26 welcome 18.504
27 buster 18.395
28 Passw0rd 18.208
29 baseball 17.858
30 shadow 17.781
31 121212 17.134
32 hannah 17.040
33 monkey 16.958
34 thomas 16.789
35 summer 16.652
36 george 16.620
37 harley 16.275
38 222222 16.165
39 jessica 16.088
40 ginger 16.040
41 michelle 16.024
42 abcdef 15.938
43 sophie 15.884
44 jordan 15.839
45 freedom 15.793
46 555555 15.664
47 tigger 15.658
48 joshua 15.628
49 pepper 15.610
Total de usuários 2.202.597

Agora vem algumas perguntas:

Até que ponto é viável seguir todas as recomendações de segurança em nossas vidas?

Até que ponto podemos esperar que as pessoas consigam gerenciar cada vez um número maior de contas?

Agora no ambiente corporativo:

Até que ponto a TI está preparada para prover uma solução eficiente e eficaz ao problema apresentado?

Será que as organizações estão preocupadas com o potencial risco que essas dezenas de senhas que devemos memorizar, trocar regularmente e não repetir por um período não inferior a 8 meses, acrescenta a organização?

Existem ferramentas que proporcionam uma gestão eficaz das senhas dentro de uma organização, exemplo é o próprio Single sign-on, uma tecnologia já antiga e muito pouco utilizada dentro das empresas, mas ela deve ser utilizada com cuidado, basicamente uma senha comprometida proporciona acesso ao ambiente completo.

Mas essa tecnologia não deve ser utilizada para tudo, acessos administrativos devem fazer uso de outra tecnologia de cofre de senha com provisionamento automático de operador, basicamente o sistema cria um operador para acesso único, esse operador terá perfil administrativo e após o encerramento da tarefa o operador é descartado, com isso nunca se fará uso do mesmo operador e senha uma segunda vez.

Há diversas pesquisas para a substituição da senha como a conhecemos por uma tecnologia que permita executar o login por um item pessoal como um token ou o próprio celular, que é um dispositivo que carregamos constantemente conosco.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *