O estranho mundo das Passwords

Quando acusaram a Apple de ter uma brecha na segurança, Tim Cook disse de forma mais polida algo como "os utilizadores são estúpidos". Era capaz de ter razão. Conheça o Top 10 das passwords mais usadas no Ashley Madison.

Como o código fonte foi roubado pelos hackers, eles conseguiram reverter o algoritmo de criptografia das passwords

Em 2014 começaram a circular na Internet fotos de celebridades da música e do cinema nuas, que supostamente seriam privadas e tinham sido retiradas do alojamento pessoal do serviço do serviço iCloud da Apple, a empresa rapidamente veio esclarecer pela voz do seu CEO Tim Cook que não tinha havido nenhuma falha de segurança informática: os utilizadores é que usavam passwords demasiado óbvias.

O site de encontros extraconjugais Ashley Madison foi mesmo vítima de um sofisticado ataque por um grupo de hackers denominado “Impact Team”, três ataques para sermos exatos. Foram roubados dados pessoais e da atividade de "convívio" de 35 milhões de utilizadores e respetivas passwords, mas alguns utilizadores nem precisavam de hackers para qualquer um entrar nas suas contas, tão óbvias que são as passwords.

As passwords são guardadas nas bases de dados por métodos de criptografia, por razões de segurança, mas como o próprio código fonte foi roubado pelos hackers, eles conseguiram reverter o algoritmo conhecido como MD5 (Message-Digest algorithm 5) que é um algoritmo de hash de 128 bits considerado de complexidade média.

Agora, o site Ars Technica veio publicar a lista das passwords mais utilizadas.
Fica novamente patente que os utilizadores, mesmo num site algo "sensível" , continuam a escolher as mais absurdas combinações.

No topo das preferências estão as "123456" e suas variações (utilizadores mais empenhados usavam até 9) , a palavra "password" continua incrivelmente a ser usada como senha, assim como o nome do próprio site nas combinação das palavras "ashley" , "madison" ou ambas. O desporto favorito ou algumas palavras de vocabulário mais vernáculo são também muito populares assim como o sempre prático "qwerty".

123456 é mesmo má ideia para uma password

Password	Vezes usadas

123456 ( e derivados)	> 200.000
password	39.448
default	34.275
qwerty	20.778
abc123	10.869
pu**y	10.683
696969	8.801
ashley	8.793
fu**me	7.893
football	7.872

(*) Substituído....

Uma questão de memória

O problema das palavras que usamos como password é que, por vezes, mesmo que não tão óbvias , podem ser adivinhadas por quem nos conhece bem.

Para Edward Baldwin , ex-CTO de uma multinacional financeira baseada em Londres e atualmente consultor de segurança IT, o seu interesse pelas escolhas dos colaboradores começou quando foram detetados acessos ao sistema bancário por funcionários que estavam de férias.

"Como havia logs de todos os acessos, e alguns colaboradores queriam fazer consultas ao sistema por razões absolutamente pessoais e fúteis, então aproveitavam ausências de colegas e usavam os seus acessos." Foi feita uma investigação interna a estes casos, quase sempre o legítimo "dono" garantia que nunca tinha revelado a password a nenhum colega. "- Não era preciso", afirma Edward, "quando se convive com alguém de perto acaba por conhecer-se a pessoa e fica fácil tentar coisas como o local onde vive, o nomes dos filhos ou do cão, e muitas vezes resulta".

Edward emitiu então uma estranha recomendação interna: "- Ou a password que escolher é do tipo sequência aleatória, ou por favor escolha algo relacionado com a sua infância como um local, uma pessoa ou outra memória", e o CTO explicava porquê esta recomendação. "Nem o seu cônjuge conhece assim tão bem a sua infância".