Citamos diversas vezes a importância de cuidar da segurança das senhas e como os cibercriminosos estão interessados em roubá-las de alguma forma, mas você realmente sabe por que é tão importante protegê-las e como essas “chaves” podem ser atacadas?
A utilização de senhas e os principais ataques
Senhas são utilizadas muito antes das ferramentas tecnológicas que existem atualmente, desde uma palavra conhecida apenas por membros de um grupo que permitiam que eles entrassem em determinado lugar até códigos militares transmitidos via rádio. O ponto em comum que todos os tipos de senha possuem é que sempre foram utilizadas para limitar o acesso a algo.
Certo tempo atrás participei de um bate-papo entre profissionais de Segurança da Informação e o assunto senhas veio à tona. Começamos a debater sobre a importância de termos senhas fortes e os tipos de ataques que poderiam ser usados contra elas.
Lembro que nesse encontro um dos profissionais comentou que achava que os ataques de força bruta exigiam que o cibercriminoso digitasse manualmente as senhas, até eventualmente digitar a senha correspondente ao usuário que estava tentando prejudicar.
Nesse momento percebi que, mesmo entre profissionais capacitados, algumas vezes não está claro os métodos utilizados por atacantes para tentar comprometer as informações de uma empresa.
Estão descritos abaixo três dos principais métodos de ataques a senhas, como funcionam e quais são os cuidados necessários para evitar que os cibercriminosos consigam ter acesso a sua senha.
#1 Dicionário/Wordlist
O ataque baseado em dicionário/wordlist também é considerado um ataque de força bruta. O atacante se utiliza de arquivos, contendo milhares ou até milhões de palavras dos mais variados tipos e idiomas e um software que permite que esta lista seja testada de forma rápida, até que a senha da vítima seja encontrada ou até que o dicionário chegue ao fim.
Como evitar:
Geralmente as senhas presentes em dicionários não são muito extensas, ou seja, possuem menos de dez caracteres, para evitar se tornar vítima de ataques de dicionário utilize senhas que possuam mais de 12 caracteres.
#2 Força Bruta/Brute force
Neste caso o atacante utiliza de parâmetros para dizer como a senha da vítima deverá ser atacada, como por exemplo:
- Qual o limite de caracteres
- Letras maiúsculas ou minúsculas
- Se existirão números
- Se algum tipo de caractere especial deverá ser testado (ex: ! @ # , ; : etc.)
Quanto mais abrangentes forem os parâmetros utilizados pelo cibercriminoso, mais demorado será o processo de ataque à senha, e isso algumas vezes inviabiliza o ataque!
Como evitar:
Quanto maior for a variedade de caracteres utilizados na senha, mais difícil será de atacá-la. Por isso, procure utilizar senhas com caracteres diversificados, tendo números, letras maiúsculas e caracteres especiais em sua composição.
#3 Phishing
Phishing, palavra derivada para palavra fishing da língua inglesa, que em tradução livre significa Pescaria.
Este tipo de ataque faz com que as vítimas acreditem estar acessando um conteúdo legitimo, em geral e-mail ou sites, quando na verdade estão acessando conteúdos falsos, produzidos pelos atacantes.
Esse tipo de conteúdo geralmente conduz as vítimas a preencherem dados de acesso (usuário e senha) já existentes de outros sites ou serviços legítimos, como por exemplo do Google e do Facebook, que ao serem preenchidos permitem que o atacante armazene as senhas antes de redirecionar as vítimas ao site legitimo.
Como evitar:
Os atacantes costumam copiar de forma quase perfeita a imagem dos sites que estão buscando roubar as senhas, mas uma série de itens não podem ser copiados, como por exemplo os endereços do site e dos links presentes dentro dele.
Sempre verifique os links para ter certeza de que pertencem ao local indicado.
Assim como boa parte dos ataques existentes, os ataques supracitados podem ser prevenidos adotando algumas mudanças simples de comportamento, e existem soluções de segurança que podem tornar esta tarefa ainda mais simplificada.
Como criar uma senha forte?
Estão listadas abaixo as sugestões de segurança que podem auxiliar na criação de uma senha mais segura, bem como atitudes simples que evitam que pessoas mal-intencionadas tenham acesso a ela:
- Evite utilizar palavras simples, como por exemplo seu nome, nome de algum familiar, nomes de animais de estimação, etc.
- Utilize senhas com dez ou mais caracteres.
- Utilize letras maiúsculas e minúsculas.
- Utilize números e caracteres especiais (ex: ! @ # , ; : etc.).
- Não utilize a mesma senha em mais de um serviço. Ou seja, a senha do e-mail, do Facebook e do site de compras devem ser distintas.
- Toque a senha periodicamente.
- Não digite sua senha em computadores de uso comum, como em cybercafés, lan houses, bibliotecas, etc.
- Fique atento a páginas que solicitem que você digite seu usuário e senha de outro site
- Tenha sempre muito cuidado ao abrir links recebidos por e-mail.