Passwords: basta um minuto para ter a sua vida exposta

Passwords: basta um minuto para ter a sua vida exposta

Um estudo de grande escala realizado por especialistas da Kaspersky revela que quase metade de todas as passwords podem ser adivinhadas pelos cibercriminosos em menos de um minuto – apenas 23% demonstraram resistência.

Os especialistas da Kaspersky realizaram uma investigação exaustiva a 193 milhões de passwords disponíveis na darknet. De acordo com os resultados obtidos, cerca de 87 milhões (45%) de todas as passwords analisadas podem ser descobertas num minuto e apenas 44 milhões (23%) das combinações revelaram ser suficientemente resistentes - decifrá-las demoraria mais de um ano. Os peritos da Kaspersky revelaram quais as combinações de caracteres mais utilizadas na criação de uma password.

A telemetria da Kaspersky indica mais de 32 milhões de tentativas de ataque a utilizadores com passwords stealers em 2023. Estes números mostram a importância da ciber-higiene e de políticas de password atempadas.

Em junho de 2024, a Kaspersky realizou um novo estudo e analisou 193 milhões de passwords, que foram encontradas no domínio público em vários recursos da darknet. Estes resultados demonstram que a maioria das passwords analisadas não eram suficientemente fortes e podiam ser facilmente comprometidas utilizando algoritmos inteligentes destinados a decifrar passwords.

A Kaspersky detalha a descrição da rapidez com que isso pode acontecer:

• 45% (87 milhões) em menos de um minuto.
• 14% (27 milhões) – entre um minuto e uma hora.
• 8% (15 milhões) – entre uma hora a um dia.
• 6% (12 milhões) – entre um dia e um mês.
• 4% (8 milhões) – entre um mês e um ano.

Os peritos identificaram apenas 23% (44 milhões) das passwords como resistentes - comprometê-las demoraria mais de um ano.

A maioria das credenciais analsadas (57%) tinham uma palavra do dicionário, o que reduz significativamente a sua força e complexidade. Entre as sequências de vocabulário mais populares, podem distinguir-se vários grupos:

• Nomes: "ahmed", "nguyen", "kumar", "kevin", "daniel".
• Palavras populares: "forever", "love", "google", "hacker", "gamer".
• Palavras óbvias: "password", "qwerty12345", "admin", "12345", "team".

A análise mostrou que apenas 19% de todas as passwords representam uma combinação forte e difícil de decifrar – isto é, uma opção sem uma palavra padrão do dicionário, com letras minúsculas e maiúsculas, números e símbolos. Ao mesmo tempo, o estudo revelou que 39% dessas passwords também podiam ser adivinhadas utilizando algoritmos inteligentes em menos de uma hora. 

O interessante é que os cibercriminosos não precisam de ter conhecimentos profundos ou equipamento dispendioso para comprometer as passwords dos utilizadores. Por exemplo, um processador potente de um computador portátil será capaz de encontrar a combinação correta para uma password de 8 letras minúsculas ou dígitos em apenas 7 minutos. Para além disso, as placas de vídeo modernas conseguem realizar a mesma tarefa em 17 segundos. Os algoritmos inteligentes que descobrem as passwords têm em conta a substituição de caracteres ("e" por "3", "1" por "!" ou "a" por "@") e sequências populares ("qwerty", "12345", "asdfg").

“Inconscientemente, os seres humanos criam passwords ‘humanas’ - contendo as palavras do dicionário na sua língua materna, com nomes e números. Mesmo as combinações aparentemente fortes raramente são completamente aleatórias, pelo que podem ser adivinhadas por algoritmos. Assim sendo, a solução mais fiável é gerar uma password completamente aleatória através de um gestor de passwords moderno e fiável. Estas aplicações podem armazenar de forma segura grandes volumes de dados e proporcionar uma proteção abrangente e robusta ao utilizador”, sublinha Yuliya Novikova, Diretora da equipa de Digital Footprint Intelligence da Kaspersky.

Para reforçar a sua política de passwords, basta que os utilizadores sigam estas recomendações:

• Opte por um gestor de passwords: é quase impossível memorizar passwords longas e únicas para todos os serviços que utiliza, mas com um gestor de passwords, pode memorizar apenas uma password mestra.
• Utilize uma password diferente para cada serviço: mesmo que uma das suas contas seja comprometida, pode salvaguardar as restantes.
• Verifique se a sua password é forte: as frases usadas como passwords, denominadas de frase-passe, podem ser mais seguras quando são utilizadas palavras inesperadas. Mesmo que esteja a utilizar palavras comuns, pode organizá-las numa ordem invulgar e certificar-se de que não estão relacionadas. Existem também serviços online que o ajudam a verificar se uma password é suficientemente forte.
• Faça escolhas inteligentes: não utilize uma credencial que possa ser facilmente comprometida a partir das suas informações pessoais, como datas de aniversário, nomes de familiares, animais de estimação ou o seu próprio nome. Estes são frequentemente os primeiros palpites que um cibercriminoso tentará.
• Ative a autenticação de dois fatores (2FA): Embora não esteja diretamente relacionada com a força da password, a ativação da 2FA acrescenta uma camada extra de segurança. Mesmo que alguém descubra a sua password, precisará de uma segunda forma de verificação para aceder à sua conta. Os gestores de passwords modernos armazenam chaves de autenticação de dois fatores e protegem-nas com os algoritmos de encriptação mais recentes.
• Opte por uma solução de segurança fiável aumentará a sua proteção. Esta solução monitoriza a Internet e a Dark Web e notifica o utilizador, em caso de necessidade de alteração de passwords.