Já abordamos aqui no Lab a prática recorrente entre usuários: o uso repetido de senhas padrão ou senhas pouco complexas. Nas postagens o uso de um ativo institucional (conta de e-mail) para fins pessoais e os perigos de uso de senhas padrão expusemos exemplos concretos dos riscos associados a esse comportamento desidioso.
Identificamos a divulgação de credenciais de acesso (usuário e senha) com frequência diária. Por isso, optamos por realizar uma análise dos resultados desses vazamentos como amostragem da prática dos usuários no uso de senhas fortes/seguras. Selecionamos os vazamentos que continham predominantemente contas/usuários brasileiros.
A Cartilha de Segurança do Cert.br é uma excelente referência de boas práticas para elaboração de senhas fortes, por isso vamos utilizar alguns dos critérios ali indicados como parâmetros para análise dos dados coletados em vazamentos.
Análise – Resultado Geral
Considerando a amostragem de uma semana de vazamentos obtivemos um total de 11.935 pares de credenciais (usuário e senha).
Os endereços de e-mail mais frequentes na amostragem pertencem aos grandes provedores de correio eletrônico gratuito, conforme se observa na tabela a seguir:
A frequência de repetição de senhas foi de 3,3%, pois 396 senhas foram utilizadas em mais de uma conta. Na tabela abaixo é possível observar uma lista com as senhas utilizadas com maior frequência:
Um dos aspectos relevantes para determinar a segurança de uma senha é a quantidade de caracteres que a compõe. Não há uma regra absoluta sobre o tamanho mínimo de senha, embora existam recomendações para ao menos 8 caracteres, assumindo que a composição complexa seja observada (caracteres especiais, números e letras maiúsculas/minúsculas).
Sob esse parâmetro de comparação, 32,7% das senhas observadas não atenderam o tamanho mínimo, conforme se observa da tabela a seguir:
Num levantamento realizado por Troy Hunt sobre o tamanho mínimo exigido pelos maiores sites da web, indicou que 9 das 15 páginas exigem 6 caracteres e 4 delas demandam 8 caracteres para o tamanho de senha:
Sob o parâmetro de comparação da indústria, 97,6% das senhas observadas atenderam o tamanho mínimo, conforme se observa o gráfico a seguir:
O tamanho da senha é uma das variáveis a ser considerada no momento da sua elaboração. Outro fator muito relevante é a complexidade da senha, isto é, a seleção dos caracteres que a compõem. Veremos que a combinação de 63,2% das senhas com tamanho 8 chars ou inferior e a baixa complexidade de composição as coloca em posição suscetível a ataques de força bruta.
Análise – Complexidade das Senhas
Para a análise da complexidade das senhas observamos alguns dos critérios mencionados pelo Cert.br como desejáveis:
- evitar uso de dados pessoais (nomes, nomes invertidos, sobrenomes, números de celular, placas de carro),
- evite senhas associadas à proximidade entre os caracteres no teclado (sejam sequências numéricas ou letras),
- evite palavras presentes em listas publicamente conhecidas, como nomes de times de futebol.
O uso de senhas com sequência de seis ou oito algarismos – em formatos de data – foi observado em 2.576 casos, equivalente a 21,5% da amostra de credenciais divulgadas. Fato que coloca esse tipo de senha que contém dados pessoais como a favorita dos usuários na amostragem analisada.
As senhas que indicaram o uso de nome próprio como credencial de acesso somaram 936 (7,8%) casos, sendo que em 94 casos (0,8%) a senha era composta apenas pelo nome (sem combinação com qualquer outro caractere). Essa classificação foi realizada com uma lista dos 100 nomes mais populares no Brasil (femininos e masculinos).
Outro grupo de 367 senhas (3,1%) utilizou o nickname (pseudônimo ou apelido) do e-mail na composição da senha. Esse é um comportamento temerário que se desencoraja por se tratar de uma informação disponível para eventual atacante.
Por fim, na composição de senhas com dados pessoais duas categorias foram observadas com menos frequência: placas de carro em 148 casos (0,8%) e números de celular em 25 oportunidades (0,2%).
A frequência de repetição de senhas numéricas sequenciais é alarmante, ela foi observada em 1.641 casos, o que correspondem a 13,7% do total. Foram consideradas sequências numéricas quando presentes ao menos três algarismos em ordem crescente ou decrescente.
O uso de senhas associadas à proximidade entre os caracteres no teclado (exemplo: “QWERTY”) também foi elevado com 540 registros, o que equivale à 4,5% do total de senhas analisadas.
O uso de senhas com palavras de listas conhecidas também foi observado e agrupado sob duas categorias: clubes de futebol (97 ocorrências) e termos relacionados à palavra “senha” (33 casos).
As senhas supramencionadas que não observam o parâmetro de elaboração de senhas recomendado, somadas, correspondem à 54,1% do total de senhas analisadas pelo Lab. Esse resultado quantitativo encoraja elementos maliciosos a empregar técnicas de força bruta contra áreas de acesso.
Ao realizarmos a análise em busca de senhas na amostragem que preencham as recomendações de segurança como uso de caracteres especiais, combinação de números e letras (maiúsculas e minúsculas), observamos um resultado preocupante.
Apenas 8 senhas (0,07%) dentre as 11.935 podem ser classificadas como senhas fortes, considerando os requisitos de comprimento (mínimo de 8 caracteres), presença de caracteres especiais e combinação de números e letras (maiúsculas e minúsculas). Curiosamente, todas as 8 senhas possuem comprimento superior a 12 caracteres, o que sugere terem sido elaboradas por usuários realmente preocupados com segurança.
Se considerarmos as senhas com a presença de caracteres especiais, observamos 64 senhas (0,5%), ainda que não presentes os demais requisitos de senha forte.
A combinação de caracteres numéricos e letras (maiúsculas e minúsculas) também foi pouco frequente, apenas 122 casos (1,0%).
Usuários Governo
Dentre os nomes de usuário utilizados, foram observados 15 e-mails corporativos vinculados a entidades públicas (0,13% do total). A amostra é muito baixa para permitir que se faça uma análise própria e específica para os usuários de e-mail institucional, de modo que não é possível extrapolar e separar as conclusões para essas contas.
Não obstante, o resultado da análise indica que nenhuma credencial institucional preencheu os requisitos de senha forte, sendo que apenas 6 possuem comprimento igual ou superior a 8 caracteres e apenas 3 combinam caracteres numéricos e letras (minúsculas). As demais são exclusivamente numéricas (10 senhas) – sendo que 2 são sequências numéricas e 2 tem formato de datas – e 2 letras minúsculas (uma delas é o nome de personagem secundário de um livro mundialmente conhecido).
Conclusão
A partir da amostragem de vazamentos semanais observamos que senhas de baixa complexidade são quase a totalidade e a quantidade de senhas que empregam as melhores práticas de segurança sejam apenas 8 de um universo de mais de 10 mil senhas.
Trata-se de uma evidência concreta de que uma política de senhas combinada com medidas de conscientização dos usuários são indispensáveis para manutenção da segurança cibernética.
A adoção de mecanismos adicionais de proteção do acesso – como o múltiplo fator de autenticação – são iniciativas que devem ser perseguidas, ainda que a adesão seja extremamente baixa entre os usuários (pesquisa indica que menos de 10% dos usuários de Gmail habilitaram a MFA).
Por fim, é necessária uma defesa proativa que monitore os vazamentos de credenciais de seus usuários a despeito da origem do incidente, pois como demonstramos seu usuário pode usar ativos institucionais para fins pessoais e isso pode ser utilizado contra vocês (p.ex. compartilhamento de senhas). Detectar e notificar os usuários quando são vítimas desse tipo de divulgação indesejada previne ataques que explorem a credencial vazada e conscientiza seu usuário sobre o grau de exposição dele.