Risco aumentado: os ataques de força bruta para obter senhas passaram de CPUs para GPUs, melhorando sua eficácia ao verificar mais de um milhão de chaves por segundo
Todos os anos, no mês de maio, é comemorado o Dia Mundial da Senha, mais uma data na qual a Check Point reforça a importância de o usuário dedicar um cuidado especial às senhas, pois elas são uma das principais barreiras contra os cibercriminosos.
As senhas são utilizadas por bilhões de usuários em todo o mundo, mas apesar de sua enorme importância, ainda existe um grande número de más práticas na hora de gerenciá-las e criá-las. Segundo a lista de senhas mais comuns em todo o mundo da NordPass, a senha mais usada no Brasil ainda é “123456”; em segundo lugar está a senha “Brasil”, enquanto a sequência “123456789” ocupa o terceiro lugar. No mundo, em 2019, o Centro Nacional de Segurança Cibernética do Reino Unido revelou que 23 milhões de pessoas prosseguiam adotando senhas inseguras como “123456”, evidenciando que muitos usuários ainda desconhecem os riscos potenciais.
Mas este não é o único problema enfrentado. Avanços tecnológicos rígidos não estão apenas beneficiando os usuários, mas também fornecendo aos cibercriminosos novas ferramentas para realizar seus ataques. O que antes eram consideradas senhas seguras, agora estão ficando desatualizadas e gerando novas vulnerabilidades.
O advento de novas placas gráficas com memória virtual (VRAM) abriu as portas para que esses dispositivos de hardware processassem dados em alta velocidade, da mesma forma que é usado na mineração de criptomoedas. No entanto, também podem ser utilizados em ataques cibernéticos de força bruta para obtenção de senhas, sendo os modelos mais novos capazes de realizar mais de um milhão de verificações em apenas um segundo, bem mais rápido do que o anteriormente alcançado pelas unidades centrais de processamento (CPU). Isso significa que, se tivermos uma senha com menos de 12 caracteres baseada exclusivamente no uso de letras e números, ela poderá ser violada em apenas alguns dias.
Ou seja, os ataques de força bruta para obter senhas passaram de CPUs para GPUs (Graphics Processing Units), que verificam mais de um milhão de chaves por segundo. As senhas precisam de novos requisitos para serem verdadeiramente seguras: número mínimo de 12 caracteres, uso de letras maiúsculas e minúsculas, números e caracteres especiais.
De acordo com o último relatório da Hive Systems, que compartilhou os tempos aproximados em que os cibercriminosos podem “quebrar” nossas senhas, a variação vai de esforço mínimo e tempos quase instantâneos para as senhas mais inseguras a 438 trilhões de anos para as chaves mais robustas. Em apenas um ano, esses mesmos números viram seus possíveis tempos de vulnerabilidade reduzidos em até 90% que, com a entrada de novos agentes como serviços em nuvem ou inteligência artificial, podem diminuir ainda mais nos próximos anos.
O objetivo e os motivos são claros, mas o que uma senha precisa para ser segura e forte? A Check Point Software fornece as chaves definitivas para alcançá-la:
● Quanto mais longa e variada, melhor: a senha deve ter pelo menos 14-16 caracteres e consistir em letras diferentes, combinando letras maiúsculas e minúsculas, símbolos e números. No entanto, observou-se que simplesmente aumentando a senha para até 18 caracteres combinados, uma chave completamente inquebrável pode ser construída. Essa crença é baseada no número de tentativas que a prática de força bruta requer em que o número total de combinações é igual ao número de caracteres multiplicado por seu comprimento.
● Fácil de lembrar, complexo de adivinhar: deve ser uma combinação que só o usuário saiba, por isso é aconselhável não usar dados pessoais como datas de aniversários ou de celebrações, ou nomes de familiares, pois podem ser mais fáceis de serem descobertos. Uma maneira simples de criar senhas que qualquer pessoa possa lembrar é usar frases completas, usando cenários comuns ou absurdos, com exemplos como “meryhadalittlelamb” (a tradução para o português seria algo como “Maria tinha um cordeirinho” ou como senha “merytinhaumcordeirinho”), ou seu equivalente ainda mais seguro com caracteres diferentes “#M3ryHad@L1ttleL4m8”.
● Única e irrepetível: crie uma nova senha sempre que acessar um serviço e evite usar a mesma senha para diferentes plataformas e aplicativos. Isso garante que, no caso de uma senha ser violada, o dano será mínimo e mais fácil e rapidamente reparável. De acordo com uma pesquisa do Google, pelo menos 65% dos entrevistados reutilizam suas senhas em várias contas e serviços da web, o que aumenta as chances de várias plataformas ou aplicativos serem violados.
● Sempre privado: uma premissa que pode parecer básica, mas é importante lembrar. Uma senha não deve ser compartilhada com ninguém, e é especialmente aconselhável não a anotar perto do computador ou mesmo em um arquivo nele. Para essa tarefa, as pessoas podem utilizar ferramentas como gerenciadores de senhas, que fazem o mesmo trabalho, mas de forma mais segura.
● A segurança real está a apenas “dois passos” de distância: além de ter uma senha forte e segura, o uso de autenticação de dois fatores (2FA) é um grande aprimoramento de segurança. Dessa forma, toda vez que um atacante ou uma pessoa não autorizada quiser acessar a conta de outra pessoa, o proprietário da conta receberá uma notificação em seu celular para conceder ou negar o acesso.
● Troque-a periodicamente: às vezes, mesmo seguindo todas essas práticas, ocorrem incidentes fora do nosso alcance, como vazamentos de bancos de dados de uma empresa. Portanto, é aconselhável verificar periodicamente se um e-mail foi vítima de uma vulnerabilidade para terceiros, bem como tentar rastrear as contas que podem ter sido comprometidas. Para isso, existem ferramentas de acesso público, como o site Have I Been Pwned?, que tentam reunir informações básicas sobre esses vazamentos para oferecer suporte e ajuda aos usuários. Assim, mesmo que não tenham sido violadas, é sempre recomendável atualizar as senhas periodicamente.
“Todos os dias, os cibercriminosos criam novos ataques com o objetivo de roubar senhas de usuários. Técnicas como phishing possibilitam violar milhares de serviços roubando credenciais, especialmente aqui no Brasil, onde uma organização está sendo atacada em média 1.528 vezes por semana nos últimos seis meses (novembro 2022 — abril 2023), em comparação com 1.207 ataques por organização globalmente”, informa Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil. “Esse risco pode ser facilmente sanado com o estabelecimento de senhas seguras, tornando muito mais difícil para os cibercriminosos adivinhar essas combinações e garantindo o mais alto nível de segurança para nossos dispositivos.”