Análise do arquivo indica que grande parcela das informações não corresponde a senhas verdadeiras.
Arquivo gigante com 'senhas' também inclui palavras extraídas de livros e da Wikipedia.
linusb4/Freeimages.com
Um integrante de um fórum on-line frequentado por hackers publicou um arquivo gigante chamado de "RockYou" contendo, supostamente, 82 bilhões de senhas. Seria a maior coletânea de senhas já publicada, mas a análise dos especialistas mostrou um cenário diferente e muito menos assustador.
O arquivo tem 100 GB, mas está recheado de problemas. O primeiro deles é que não há informações de usuário. Isso significa que não há como usar essa informação diretamente para atacar quem quer que seja, já que o login sempre depende de um usuário e uma senha.
Outro problema é a repetição de dados. As 82 bilhões de senhas são, na verdade, 8,4 bilhões de senhas únicas.
Mas a maior farsa do arquivo está na inclusão de sequências que nem sequer foram retiradas de senhas. Embora o arquivo tenha sido batizado de "RockYou", em referência a um vazamento de dados de 2009, a maioria das combinações não saiu de vazamentos.
De acordo com o especialista Troy Hunt, criador do site "Have I Been Pwned", que monitora vazamentos, o arquivo contém todas as palavras dos bancos de dados da Wikipedia e do Projeto Gutenberg, que digitaliza textos para preservar obras literárias.
Hunt revelou que o volume de "senhas" no arquivo é 14 vezes maior do que o registrado por ele em seu site. Isso significa que mais de 90% do conteúdo não corresponderia a uma credencial vazada mesmo que todas as senhas conhecidas estivessem no arquivo.
Nesse sentido, "RockYou" de 2021 está mais para uma lista de vocabulário do que para uma lista de senhas.
VÍDEO: Como acontece um vazamento de dados?
Senhas corrompidas
Os trechos do arquivo que realmente foram retirados de pacotes vazados sofreram modificação e nem sempre correspondem aos dados originais.
O próprio integrante do fórum que publicou o arquivo avisa que certos caracteres especiais e espaços foram removidos. Qualquer senha que tinha um espaço ou um caractere especial não incluso no padrão americano foi corrompida.
Combinações com mais de 20 caracteres também foram limitadas aos primeiros 20 caracteres. Assim, essas senhas estão incompletas.
Vazamentos reais
Quando invasores obtêm acesso a um banco de dados de uma empresa, eles podem extrair as informações de login e senha que estiverem armazenadas.
O novo arquivo "RockYou" não traz motivo para preocupação, mas é verdade que existem milhões de senhas roubadas nas mãos de hackers.
Essas informações costumam estar protegidas com algum mecanismo de criptografia ou até com fórmulas de "hash", que é uma representação matemática da senha. Ele permite que o sistema reconheça a senha digitada sem armazenar a senha propriamente dita.
Hackers podem utilizar diversas técnicas para tentar quebrar essas proteções, mas isso pode levar tempo. É durante este tempo que o alvo do ataque deve identificar a invasão e alertar usuários para que as senhas sejam trocadas.
Também é válido usar o site HaveIBeenPwned.com para checar se o seu e-mail ou telefone já apareceram em algum vazamento.
Para evitar a repetição de senhas – que torna as senhas vazadas úteis em vários serviços –, é recomendado o uso de um gerenciador de senhas que permita usar credenciais únicas para cada serviço.
Gerenciador de senhas: saiba como usar, sincronizar entre dispositivos e melhorar sua segurança
Vazamento de dados: guia para se proteger e tirar dúvidas
Entenda e proteja-se do ataque de 'credential stuffing', usado por hackers em vazamentos de dados
Uso em 'ataques de dicionário'
Ainda que o arquivo não seja um vazamento de senhas, ele pode ser empregado no chamado "ataque de dicionário".
Quando um hacker pode realizar infinitas tentativas para descobrir uma senha, ele pode tentar o método da "tentativa e erro".
Dentro dessa técnica, é possível aprimorar as tentativas usando um o que se chama de "dicionário" – combinações de senhas conhecidas, palavras e outros dados que aumentam a chance de descobrir a senha com menos tentativas.
Especialistas recomendam o uso de senhas longas e caracteres especiais justamente como medida de defesa contra esses ataques.
Mas é importante saber que ataques de dicionário não podem ser realizados contra serviços on-line. Redes sociais e provedores de serviços limitam o número de acessos consecutivos, não sendo possível tentar um número de senhas tão grande.
Ataques de tentativa e erro são mais relevantes quando há o roubo de chaves criptográficas, como no caso de carteiras de criptomoedas, ou para descobrir as senhas criptografadas de um banco de dados roubado.
Além de facilitar o uso de senhas únicas, um gerenciador de senhas também permite o uso de senhas complexas e qualquer lugar. Dessa maneira, as senhas ficam resistentes tanto a ataques de vazamentos como a ataques de tentativa e erro com dicionário.
Dúvidas sobre segurança, hackers e vírus? Envie para
[email protected]Download seguro: saiba como baixar programas legítimos
Veja dicas para manter seguro on-line
