Por que até a sua senha mais complexa será quebrada em breve

Mais de 80% de todas as violações de dados estão relacionadas a senhas. Usar senhas complexas e diferentes para cada conta pode aumentar a segurança. No entanto, contas de clientes com senhas fortes também podem ser hackeadas.

Quando falamos sobre fazer login em contas digitais, seja em aplicativos ou sites, a combinação de um nome de usuário e uma senha vem à nossa mente. Senhas secretas têm sido usadas por milhares de anos. É um conceito simples: uma informação compartilhada, mantida em segredo entre indivíduos e usada para provar a identidade.

Em tempos em que as pessoas passam grande parte da vida online, o uso desse conceito simples é generalizado. Pesquisas descobriram que o número de contas protegidas por senha por usuário aumentou exponencialmente nos últimos anos, em resposta à explosão de novos aplicativos e serviços online. Um estudo, encomendado pela NordPass, descobriu que entre 2019 e 2020 o número de senhas por usuário saltou 20%, de uma média de 83 para 100.

O número crescente de contas protegidas por senha não é um problema a princípio. No entanto, a forma como os usuários definem e gerenciam as senhas, de fato, é. Uma senha é estática e, portanto, deve ser lembrada pelo usuário ou armazenada, seja em uma nota adesiva ou em um gerenciador de senhas. Como uma pessoa comum só consegue lembrar de uma combinação de 7 letras ou números, lembrar 100 senhas individuais pode se tornar um grande problema. Consequentemente, os usuários tendem a usar senhas simples, como nomes de familiares, datas de nascimento ou simplesmente 123456, ainda a senha mais usada na internet. Mas por que as senhas são um problema de segurança em primeiro lugar?

A reutilização de senhas é a causa número 1 de violações de segurança#

Para gerenciar todas as suas contas, 52% dos usuários reutilizam senhas com consequências graves. Isso permite que hackers tenham acesso a várias contas atacando o elo mais fraco (o site com os padrões de segurança mais baixos). Por exemplo, sua conta do Facebook é protegida por uma senha complexa e fortes padrões de segurança. No entanto, há uma boa chance de que suas credenciais tenham sido envolvidas em uma violação de dados anterior, como a do MySpace em 2008, onde 359.420.698 credenciais foram roubadas. E este é apenas um exemplo. Segundo a Forbes, o número de credenciais roubadas aumentou 300% desde 2018. Hoje, mais de 15 bilhões de credenciais de 100.000 violações podem ser compradas na internet por qualquer pessoa. Com essas credenciais, os hackers realizam solicitações de login em grande escala em centenas de plataformas para obter acesso às suas contas (os chamados ataques de credential stuffing).

Nem as senhas complexas são seguras#

Apesar deste risco amplamente conhecido, 70% das credenciais vazadas ainda estão em uso. Geralmente, ataques de credential stuffing podem ser evitados usando senhas diferentes e complexas para cada conta em cada plataforma, em combinação com gerenciadores de senhas. No entanto, até senhas complexas podem ser facilmente quebradas em segundos. No ano passado, foi estabelecido um recorde por um computador tentando gerar todas as senhas concebíveis. Ele alcançou uma taxa superior a 100.000.000.000 de tentativas por segundo. O uso de tais scripts para tentar combinações aleatórias de nome de usuário/senha é chamado de métodos de força bruta.

Mas mesmo que sua senha não tenha sido quebrada por força bruta, ela ainda não é completamente segura. Como cliente, você precisa confiar nos padrões de segurança das plataformas nas quais está fazendo login. No caso de uma proteção fraca, qualquer senha, por mais complexa que seja, pode ser roubada.

Os hackers são criativos e melhoram constantemente seus métodos#

Infelizmente, credential stuffing e força bruta não são os únicos métodos para obter acesso não autorizado a contas de clientes. Outra técnica amplamente utilizada é o phishing, onde uma interface de usuário falsa do site original é usada para enganar os usuários a inserir suas credenciais. Outros métodos são ataques man-in-the-middle, onde fluxos de comunicação como redes WiFi públicas são interceptados, ou keylogging, onde malwares são instalados em um computador para capturar as credenciais.

Enquanto houver senhas, contas de clientes serão hackeadas#

Os problemas descritos acima são a razão pela qual mais de 80% de todas as violações de dados e ataques de hackers se devem a senhas e enfatizam que precisamos de uma abordagem melhor do que apenas nome de usuário e senha para lidar com a autenticação. Evoluções como a autenticação de dois fatores (2FA) vão na direção certa em termos de segurança, mas a adoção pelos usuários é bastante baixa. Então, por que não omitir totalmente as senhas e adotar o passwordless? Parece interessante? Explore as soluções passwordless da Corbado e tenha uma primeira impressão do futuro da autenticação!

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →

Perguntas frequentes#

Por que usar uma senha complexa e exclusiva não é o suficiente para manter minha conta segura?#

Até mesmo uma senha complexa pode ser comprometida se a plataforma que a armazena tiver padrões de segurança fracos, já que qualquer senha pode ser roubada de um servidor vulnerável, independentemente de sua força. Técnicas como phishing, keylogging e ataques man-in-the-middle capturam credenciais antes mesmo que a criptografia seja aplicada, tornando a própria senha o elo mais fraco, não importa o quão complexa ela seja.

O que é credential stuffing e como a escala de credenciais roubadas o torna tão perigoso?#

O credential stuffing envolve usar pares de nome de usuário e senha roubados de uma violação e testá-los automaticamente em centenas de outras plataformas. Com mais de 15 bilhões de credenciais de 100.000 violações disponíveis para compra online, os invasores têm enormes conjuntos de dados para trabalhar, e somente a violação do MySpace em 2008 expôs mais de 359 milhões de credenciais que continuam exploráveis onde quer que as vítimas tenham reutilizado essas senhas.

Por que tantos usuários ainda dependem de senhas fracas ou reutilizadas, apesar de conhecerem os riscos?#

Uma pessoa comum só consegue lembrar com segurança uma combinação de cerca de 7 letras ou números, o que torna praticamente impossível memorizar 100 senhas complexas exclusivas. Esse limite cognitivo leva 52% dos usuários a reutilizar senhas em várias contas, o que, por sua vez, permite que os hackers acessem vários serviços visando a plataforma menos segura em que o usuário está registrado.

Soluções como a autenticação de dois fatores são suficientes para substituir totalmente as senhas?#

A autenticação de dois fatores avança na direção certa para a segurança, mas o artigo observa que a adoção pelo usuário permanece muito baixa, limitando seu impacto prático. A direção mais promissora é eliminar as senhas por meio da autenticação sem senha, que remove o segredo estático compartilhado que sustenta os ataques de phishing, força bruta e credential stuffing na raiz.