terça-feira , 27 outubro 2020

Microsoft: não é o tamanho da senha (password) nem quantos caracteres especiais ela usa, hackers podem obtê-la de qualquer maneira

A força da sua senha (password) não importa, diz um especialista em segurança da Microsoft. Não é o comprimento, nem a complexidade, nem quantos caracteres especiais ele usa. Os hackers podem obtê-lo de qualquer maneira, e a única coisa que realmente faz a diferença, diz ele, é se a autenticação de dois fatores (2FA) está ativada.

“Concentrar-se nas regras de senha, e não nas coisas que podem realmente ajudar”, escreve Alex Weinert , gerente de programas de grupo para segurança e proteção de identidade da Microsoft em um post do início deste verão “é apenas uma distração”.

Não concordamos completamente com Weinert. A complexidade da senha (password) ainda desacelerará os invasores em muitos casos. Mas ele está certo de que mesmo a senha (password) mais forte não pode se defender de um bom ataque de phishing, que uma senha (password) usada mais de uma vez também pode ser considerada desaparecida, e que o 2FA – que a Microsoft chama de autenticação multifator ou MFA – é uma necessidade absoluta. 

“Sua conta tem uma probabilidade 99,9% menor de ser comprometida se você usar o MFA”, escreve Weinert.

A publicação de Weinert, apresentada no Blog de Identidade do Active Directory do Azure da Microsoft no início de julho, contém um gráfico fácil de entender listando vários ataques diferentes a senhas, com que frequência são tentados, com êxito e se a complexidade da senha (password) ajuda a impedi-los .

Recheio de credenciais

Um dos ataques mais comuns é o preenchimento de credenciais, que Weinert diz que é tentado em 20 milhões de contas associadas à Microsoft todos os dias. 

Os invasores recebem enormes listas de credenciais comprometidas – senhas e seus nomes de usuário ou endereços de email associados – de violações de dados anteriores e testam cada conjunto de credenciais em outros sites.  

Portanto, se você usou “[email protected]” e “L10nK1Ng333” no LinkedIn ( totalmente comprometido em 2012 ), um invasor tentará essas credenciais para fazer login em contas no Facebook, Google, Dropbox, Spotify, Microsoft e várias dezenas outros sites, incluindo bancos e varejistas on-line. As probabilidades são de que essas credenciais foram reutilizadas pelo menos uma vez.

“É difícil pensar em senhas”, diz Weinert em seu blog, acrescentando que “62% dos usuários admitem reutilização”. 

A força da senha (password) não importa com o preenchimento de credenciais, ele escreve, porque o invasor já a possui. As defesas são nunca reutilizar senhas – e usar 2FA sempre que possível para impedir que o invasor efetue login, mesmo que ele ou ela possua a senha.

Phishing

Também são muito comuns os ataques de phishing , que levam o usuário a digitar uma senha (password) em uma página de login falsa. Uma em cada 500 mensagens de e-mail é uma atração de phishing, diz Weinert, e os usuários se apaixonam por elas porque “as pessoas estão curiosas ou preocupadas e ignoram os sinais de alerta”.

Mais uma vez, a força da senha (password) não importa. Você acabou de dar a senha (password) ao invasor. A autenticação de dois fatores ajudará a bloquear o ataque na maioria dos casos, mas como um comentarista do post de Weinert apontou, bons phishers podem interceptar códigos 2FAs com texto ou enganar os usuários para que digam códigos 2FA em sites de phishing.

A melhor defesa contra phishing é a forma mais cara de 2FA – uma chave de segurança física que se comunica com seu computador ou smartphone via USB, Bluetooth ou NFC. Você não pode duplicar essas chaves ou encaminhar suas comunicações de uma página de phishing para uma página de login real. 

As chaves de segurança começam em cerca de US $ 15 ou US $ 20 on-line , mas podem valer a pena, e cada chave cria um conjunto diferente de credenciais criptografadas para cada conta on-line. O Google agora exige chaves de segurança física para seus funcionários e supostamente não teve uma conta comprometida desde que instituiu essa regra.

Pulverização de senha

Aqui é onde a força da senha (password) importa, mais ou menos. O invasor tem uma longa lista de endereços de e-mail conhecidos (fácil de obter) e tenta usar cada um deles com as 20 ou 50 senhas mais usadas para fazer login em muitos sites diferentes.  

Este ataque não funcionará na maioria das tentativas. Mas funcionará com bastante frequência, porque milhões de pessoas ainda usam “123456” ou “qwerty456” ou “000000” ou mesmo “senha” como senhas. Weinert acha que centenas de milhares de contas são invadidas todos os dias através da pulverização de senhas.

Mas, diz ele, apenas as senhas realmente terríveis são vulneráveis ​​à pulverização de senhas. Caso contrário, senhas medíocres como “dijskb” (sem caracteres suficientes, todas minúsculas) são tão seguras quanto as fortes como “V6 [zjzau / # q9vK-rd, +:” (20 caracteres de diferentes casos e tipos) porque elas ‘ não está entre as piores senhas de todas . 

Força bruta

É aqui que a força da senha (password) realmente faz a diferença. Weinert diz que um bom computador para quebrar senhas poderia quebrar o “dijskb” em poucos segundos, mas que uma senha (password) de 10 caracteres usando letras maiúsculas, letras minúsculas, números e sinais de pontuação levaria cerca de 20 anos para decifrar. Fizemos as contas e percebemos que “V6 [zjzau / # q9vK-rd, +:” tomaria o norte de 10 septilhões de anos. Propaganda

Isso é ótimo, e realmente ajuda em casos em que um banco de dados é violado e as senhas são fortemente “hashed”, ou seja, protegidas por criptografia unidirecional para que eles não podem ser revertidos. (Quando você faz logon em um site, a senha (password) que você digita é rapidamente dividida e o resultado é comparado ao hash que o site armazenou quando você configurou a conta.) 

Mas aqui é onde discordamos de Weinert. Ele diz que, no caso de uma violação de dados, em que um invasor é confrontado com senhas com hash muito forte, a força da sua senha (password) ainda não importa “, a menos que tenha mais de 12 caracteres e nunca tenha sido usada antes – o que significa que foi gerado por um gerenciador de senhas “.

Concordamos que uma boa senha (password) deve ter mais de 12 caracteres. Quinze caracteres é onde estaríamos confortáveis ​​agora. 

Mas uma boa senha (password) – palavras aleatórias unidas, com algumas substituições de caracteres – que é longa o suficiente funcionará bem. Não use a proverbial ” correção correta de dados da bateria ” , porque isso é bem conhecido, mas algo como “F1n3! $ Od4? Bu1Ld1ng # 4ccur4cy” (baseado em “precisão de construção de construção”) deve ficar bom, não ficará quebrado por anos e pode ser fácil o suficiente para você se lembrar enquanto ainda é muito difícil de adivinhar.

Gerenciadores de senhas e verificação de novas senhas

Weinert passa por mais alguns tipos de ataques de senha (password) – registrando pressionamentos de teclas, encontrando as senhas de alguém anotadas e extorsão – e ressalta que a força da senha (password) também não importa muito. Mas a incidência deles é tão baixa que você não deve se preocupar muito com eles.

Para garantir que suas senhas sejam tão fortes quanto possível, use um gerenciador de senhas para garantir que suas senhas sejam fortes, longas e exclusivas. 

Quando você cria uma senha, ou um gerenciador de senhas gera uma, verifique a nova senha (password) para certificar-se de que ela não esteja entre as centenas de milhões de senhas comprometidas conhecidas em https://haveibeenpwned.com/Passwords antes de usá-la. 

O HaveIBeenPwned nos diz que “o método correto de detecção de dados” apareceu 120 vezes em violações de dados, mas que, surpresa, “dijskb” não foi visto. Nem “F1n3! $ Od4? Bu1Ld1ng # 4ccur4cy” ou a frase em que se baseou “finasodabuildingacuracy”. Mas não use nenhum deles como sua própria senha, porque o fato de termos publicado online significa que eles já estão meio comprometidos.

E, mais uma vez, configure a autenticação de dois fatores em todas as contas que permitirem. Aceite o fator de código de texto, se isso é tudo o que está disponível. Se possível, use aplicativos autenticadores como o Google Authenticator . E se você puder pagar US $ 20 por uma chave de segurança USB, use-a em todas as contas que a suportam.

Google agora informará se sua senha (password) foi invadida

Os gerenciadores de senhas são essenciais para proteger sua privacidade online. O gerenciador de senhas do Google agora destacará se você está usando uma senha (password) que já foi violada. Ele estará no Chrome por padrão no futuro. A luta contra senhas ruins está aumentando o nível. O Google agora o alertará se você estiver usando uma senha …

Senhas com dias contados: consumidores estão prontos para um novo tipo de autenticação

Demorou mais de um século para o público em geral adotar a máquina de lavar louça. Depois que foi  inventado em 1886 , não alcançou nem 50% dos domicílios americanos até depois de 1992 . Embora o ponto de partida para a máquina de lavar loiça dificilmente tenha ajudado a alcançar a adoção comum, foi também um dos primeiros estudos de …

Google Password Manager: tudo que você precisa saber

Um gerenciador de senhas é a maneira perfeita de criar senhas seguras e exclusivas que podem ser controladas centralmente. O Google Chrome tem um built-in, potencialmente poupando-lhe a necessidade de software de terceiros. O gerenciador de senhas do Google tem muitos benefícios, como acelerar o registro e manter cada senha (password) da conta única. Mas há algumas …

Cuidado: as piores senhas que você não deve usar em 2020

As senhas são muito importantes para proteger nossas contas. É vital ter chaves fortes e complexas e, portanto, não permitir a entrada de possíveis intrusos. No entanto, deve-se mencionar que muitos usuários cometem erros a esse respeito. Isso faz com que as contas sejam expostas a possíveis ataques que afetam a privacidade e a segurança. Neste artigo, reproduzimos as piores …

Download app Android, modelo 2021.

Sobre Redação UpLinkBr

Suporte do website UpLinkBr, envie seu email ou dívida para [email protected]