Divulgada lista com as 50 piores – e mais comuns – senhas de 2018

Como era de se esperar, ainda estão usando “123456” como uma senha. Este ano, de acordo com a pior lista anual de senhas da SplashData, a sequência óbvia ficou novamente em primeiro lugar.

“Password”, que é a palavra senha em inglês, ficou em segundo lugar.

Mas ouve uma novidade: “Donald” entrou na lista deste ano, no 23º lugar. Talvez por causa do 45º presidente dos Estados Unidos da América ou por causa do Pato Donald. Ou ambos.

O setor de segurança e a mídia continuam tentando transmitir a mensagem de que senhas simples como essas são fáceis de adivinhar: estamos falando de frações de microssegundos para um ataque de força bruta. E por isso, a cada ano, são sugeridas correções das políticas de elaboração de senhas.

Esses são conjuntos de regras como “sua senha deve ter pelo menos oito caracteres e conter pelo menos uma letra maiúscula, um número e um caractere especial”. Eles são populares porque as regras são fáceis de verificar e aumentam a entropia de sua senha (o que pode ser importante, mas não é a mesma coisa que a força da senha).

As regras de composição podem ser irritantes (para todos, até para as pessoas que escolhem senhas realmente fortes); eles medem algo que não é a força da senha; e eles restringem o conjunto de senhas possíveis (o “espaço de senha”), o que torna tudo mais fácil para crackers de senha.

Mas importante, embora seja verdade que, como diz o CEO da SplashData, Morgan Slain, “usar seu nome ou qualquer nome comum como senha é uma decisão perigosa”, culpar o usuário claramente não está funcionando. Se fosse, as mesmas senhas não continuariam aparecendo, ano após ano.

Para a lista deste ano, a SplashData diz que avaliou mais de cinco milhões de senhas perdidas. Mas não deveria ser surpreendente que o enorme cache contivesse tantos nomes de celebridades, termos da cultura pop e esportes e padrões simples de teclado. Eles são fáceis de lembrar. Claro que as pessoas vão usá-los…

…se sites e serviços continuarem permitindo que eles sejam usados.

Que tal sites parem de permitir 123456?

Existe outra opção. A opção é que sites e serviços simplesmente impeçam os usuários de escolher uma senha que esteja na lista das piores senhas. Ou, digamos, proibir a criação de qualquer uma das 10.000 piores senhas.

As listas de piores senhas são trazidas para nós por cortesia de todos os sites e serviços que aceitam senhas fracas. Desative, e você nunca contribuirá para uma lista como essa novamente.

Seu site/serviço usou zxcvbn – um medidor de força de senha feito pelo Dropbox (também usado pelo WordPress e disponível para todos nós, gratuitamente) que realmente tenta medir a força da senha – seus usuários teriam sido avisados se tivessem escolhido um dessas senhas terríveis.

Então, novamente, se o seu website/serviço fizer a autenticação de dois fatores (2FA) obrigatória, os usuários teriam sido bem protegidos, mesmo se tivessem escolhido uma das senhas ruins.

Se o seu site/serviço usar a limitação de taxa, até mesmo a senha mais fraca recebe uma atualização séria. Limitar o número de vezes que um usuário pode tentar uma senha incorreta significa que os ataques demoram muito tempo. Os atacantes têm que ser muito mais circunspectos sobre quantos palpites eles fazem: basta perguntar ao FBI o quão inconveniente, ou impossível, ele pode fazer a tarefa de forçar seu caminho em um login desconhecido.

Nada disso significa que os usuários estão fora do gancho quando se trata de escolher uma senha forte, no entanto. Não há como saber se as senhas estão sendo armazenadas com segurança e não têm controle sobre as medidas que os sites usam para impedir a adivinhação on-line – além de adotar o 2FA sempre que ele estiver disponível.

Isso tudo significa que o ônus ainda está nos usuários para garantir que todas as senhas escolhidas sejam exclusivas e fortes o suficiente para resistir a um ataque de adivinhação offline. E isso significa que sim, os sites ainda precisam promover uma regra de composição de senha: faça de cada senha uma coleção aleatória de pelo menos 14 letras, números e caracteres especiais.

E os usuários, se você não consegue lembrar todas as suas senhas – e quantas de nós podem? – você sempre pode confiar em um gerenciador de senhas para mantê-los seguros.

Confira a lista com as 50 piores senhas de 2018:

#49 joshua
#48 tigger
#47 55555
#46 jordan
#45 solo
#44 abcdef
#43 letmein
#42 ginger
#41 jessica
#40 222222
#39 harley
#38 george
#37 summer
#36 thomas
#35 hannah
#34 daniel
#33 buster
#32 baseball
#31 passw0rd
#30 shadow
#29 freedom
#28 bailey
#27 121212
#26 zxcvbnm
#25 qwerty123
#24 password1
#23 donald
#22 aa123456
#21 charlie
#20 !@#$%^&*
#19 654321
#18 monkey
#17 123123
#16 football
#15 abc123
#14 666666
#13 welcome
#12 admin
#11 princess
#10 iloveyou
#9 qwerty
#8 sunshine
#7 1234567
#6 111111
#5 12345
#4 12345678
#3 123456789
#2 password
#1 123456

Divulgada lista com as 50 piores – e mais comuns – senhas de 2018

Que tal sites parem de permitir 123456?

Relacionado

Deixe uma resposta Cancelar resposta

CATEGORIAS

ÚLTIMAS NOTÍCIAS

Programador belga resolve quebra-cabeça de criptografia – 15 anos cedo demais!

Criminosos estão se escondendo no Telegram – mas backdoors não são a resposta

Mantendo seus dados seguros ao viajar

iLnkP2P: Milhões de dispositivos smarts de consumidores expostos por grave falha de segurança

Como fazer um controle fácil de diretivas de acesso