terça-feira, 26 de janeiro de 2010
Senhas fracas colocam segurança corporativa em risco
Relatório analisa 32 milhões de senhas e indica que a maioria ainda é muito fácil de hackear. Dado serve de alerta para as corporações que não possuem política específica para senhas.
Por Computerworld/EUA
26 de janeiro de 2010 - 07h00
A notícia do hacker que invadiu e publicou um banco de dados com 32 milhões de senhas, roubado da desenvolvedora de aplicativos para redes sociais RockYou Inc., acendeu um alerta no mercado de internet. A situação ficou ainda pior quando a empresa de segurança de banco de dados Imperva, sediada nos EUA, divulgou um relatório assustador sobre essas senhas, indicando que a maioria é muito fácil de ser descobertas.
Segundo estudo, usuários ainda confiam em senhas muito simples para acessar suas contas, como ‘123456’. É um tipo de comportamento que tende a se repetir entre os usuários das empresas, quando eles têm total liberdade de escolher as próprias senhas.
Pela análise da Imperva, 30% das senhas tinham apenas seis caracteres ou menos e 60% foram criadas a partir uma lista limitada de caracteres alfanuméricos. Quase 50% dos usuários usaram nomes facilmente adivinháveis, gírias comuns, letras adjacentes nos teclados e dígitos consecutivos. A mais comum, ‘123456’, é seguida da ‘12345’. Em terceiro está ‘123456789’ e a quarta é ‘password’, a palavra senha em inglês.
“A maioria das 5 mil senhas mais comuns estão nas listas usadas pelos hackers para entrar em contas com a ajuda de scripts”, relata o chefe de tecnologia da Imperva, Amichai Shulman. Em outras palavras, um hacker com essa lista em mãos poderia quebrar uma senha a cada segundo com ferramentas automáticas de adivinhação.
O relatório da Imperva não foi o primeiro a mostrar essa tendência. O que o separa dos demais, no entanto, é a amostra grande de senhas analisadas. Embora as senhas levavam a contas com valor relativamente baixo, estudos prévios mostraram que usuários têm a tendência de aplicar a mesma senha para cada serviço. E a pior notícia é que os hackers usam essas técnicas para realizar ataques nas redes corporativas, em busca de alguma vantagem financeira.
Em novembro passado, por exemplo, o centro de crimes cibernéticos do FBI percebeu tentativas de criminosos virtuais de roubar aproximadamente 100 milhões de dólares usando credenciais roubadas. Na média, um caso desses é aberto toda semana no FBI.
De acordo com o FBI, na maioria dos casos as técnicas usadas pelos criminosos são cavalos de tróia que identificam, de forma sofisticada, a digitação do usuário no teclado durante transações em contas bancárias corporativas.
Tais ataques reforçam a ideia de que as empresas precisam ter um controle muito maior do que o atual sobre os métodos de autenticação. Para administradores de rede, a única forma é obrigar que senhas fortes sejam adotadas. “Se os usuários ficarem livres para escolher, fraquezas vão surgir”, diz Shulman.
De acordo com o relatório, o controle contra as ferramentas favoritas dos hackers também são essenciais. Os tradicionais testes com digitação de palavras são uma das formas de evitar que scripts adivinhem senhas. O estudo recomenda, também, que os administradores de rede criem uma política de mudança periódica de senhas e encorajem os usuários a criarem frases complexas em vez de apenas uma palavra ou combinação de números.
Por Computerworld/EUA
26 de janeiro de 2010 - 07h00
A notícia do hacker que invadiu e publicou um banco de dados com 32 milhões de senhas, roubado da desenvolvedora de aplicativos para redes sociais RockYou Inc., acendeu um alerta no mercado de internet. A situação ficou ainda pior quando a empresa de segurança de banco de dados Imperva, sediada nos EUA, divulgou um relatório assustador sobre essas senhas, indicando que a maioria é muito fácil de ser descobertas.
Segundo estudo, usuários ainda confiam em senhas muito simples para acessar suas contas, como ‘123456’. É um tipo de comportamento que tende a se repetir entre os usuários das empresas, quando eles têm total liberdade de escolher as próprias senhas.
Pela análise da Imperva, 30% das senhas tinham apenas seis caracteres ou menos e 60% foram criadas a partir uma lista limitada de caracteres alfanuméricos. Quase 50% dos usuários usaram nomes facilmente adivinháveis, gírias comuns, letras adjacentes nos teclados e dígitos consecutivos. A mais comum, ‘123456’, é seguida da ‘12345’. Em terceiro está ‘123456789’ e a quarta é ‘password’, a palavra senha em inglês.
“A maioria das 5 mil senhas mais comuns estão nas listas usadas pelos hackers para entrar em contas com a ajuda de scripts”, relata o chefe de tecnologia da Imperva, Amichai Shulman. Em outras palavras, um hacker com essa lista em mãos poderia quebrar uma senha a cada segundo com ferramentas automáticas de adivinhação.
O relatório da Imperva não foi o primeiro a mostrar essa tendência. O que o separa dos demais, no entanto, é a amostra grande de senhas analisadas. Embora as senhas levavam a contas com valor relativamente baixo, estudos prévios mostraram que usuários têm a tendência de aplicar a mesma senha para cada serviço. E a pior notícia é que os hackers usam essas técnicas para realizar ataques nas redes corporativas, em busca de alguma vantagem financeira.
Em novembro passado, por exemplo, o centro de crimes cibernéticos do FBI percebeu tentativas de criminosos virtuais de roubar aproximadamente 100 milhões de dólares usando credenciais roubadas. Na média, um caso desses é aberto toda semana no FBI.
De acordo com o FBI, na maioria dos casos as técnicas usadas pelos criminosos são cavalos de tróia que identificam, de forma sofisticada, a digitação do usuário no teclado durante transações em contas bancárias corporativas.
Tais ataques reforçam a ideia de que as empresas precisam ter um controle muito maior do que o atual sobre os métodos de autenticação. Para administradores de rede, a única forma é obrigar que senhas fortes sejam adotadas. “Se os usuários ficarem livres para escolher, fraquezas vão surgir”, diz Shulman.
De acordo com o relatório, o controle contra as ferramentas favoritas dos hackers também são essenciais. Os tradicionais testes com digitação de palavras são uma das formas de evitar que scripts adivinhem senhas. O estudo recomenda, também, que os administradores de rede criem uma política de mudança periódica de senhas e encorajem os usuários a criarem frases complexas em vez de apenas uma palavra ou combinação de números.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário