Proponha uma correção, faça uma sugestão
“123456” foi a password mais famosa em 2014
As passwords continuam a fazer parte dos tradicionais sistemas de autenticação de utilizadores e máquinas.
Por norma, uma password forte garante uma melhor segurança mas, a verdade, é que os utilizadores continuam a usar passwords óbvias, como por exemplo, números (ex.123456), nomes dos filhos, cão, gato, data de nascimento, etc.
Passado mais um ano, a SplashData divulgou o TOP 25 das passwords mais populares de 2014.
Apesar dos alertas e da onda de ataques, os utilizadores continuam a usar como “chave de acesso” passwords básicas. É verdade que não existe nenhum “guideline” (apenas dicas) que nos ensine a criar passwords, no entanto, todos nós sabemos que uma password complexa e com alguns caracteres é normalmente mais forte que uma password simples, com poucos caracteres.
E as passwords mais populares em 2014 foram:
| Rank | Password | Mudança face a 2013 |
| 1 | 123456 | Mantém |
| 2 | password | Mantém |
| 3 | 12345 | Sobe 17 posições |
| 4 | 12345678 | Desceu 1 |
| 5 | qwerty | Desceu 1 |
| 6 | 123456789 | Mantém |
| 7 | 1234 | Subiu 9 |
| 8 | baseball | Nova |
| 9 | dragon | Nova |
| 10 | football | Nova |
| 11 | 1234567 | Desceu 4 |
| 12 | monkey | Subiu 5 |
| 13 | letmein | Subiu 1 |
| 14 | abc123 | Desceu 9 |
| 15 | 1111 | Desceu 8 |
| 16 | mustang | Mantém |
| 17 | access | Nova |
| 18 | shadow | Sem mudança |
| 19 | master | Nova |
| 20 | michael | Nova |
| 21 | superman | Nova |
| 22 | 696969 | Nova |
| 23 | 123123 | Desceu 12 |
| 24 | batman | Nova |
| 25 | trustno1 | Desceu 11 |
Dicas da SplashData para definir uma password:
- Utilização de passwords com 8 ou mais caracteres, com a mistura de caracteres especiais. Mas tenham atenção às substituições mais óbvias e facilmente detectáveis.
- É aconselhado a utilização de frases em vez de passwords. Para além de mais compridas introduzem uma complexidade maior. Mas evitem frases conhecidas e com sentido. Usem espaços ou outros caracteres para separar as palavras.
- Evitem usar o mesmo username e password para vários sites O ideal é usar no mínimo passwords diferentes e com associação ao próprio serviço.
- Em situações em que existe dificuldade em memorizar as palavra passe é aconselhada a utilização de um gestor de passwords.
Via SplashData
Este artigo tem mais de um ano
Loading ...
gostaria de saber como é que essa empresa tem acesso a esses dados.. da que pensar
Estava a pensar no mesmo…
Como é que eles sabem qual é as passwords mais utilizadas?
E mais! Normalmente as passwords não são armazenadas nas BD em plaintext mas sim um hash das mesmas. Dá que pensar mesmo…
Um hash salvado – pelo menos deveria ser, mas não estou certo que seja assim sempre.
SALGADO hups
Todos os anos são “hackadas” e publicadas listas de milhares e milhares de passwords. Que eu saiba, é daí que saem as listas das passwords mais usadas.
Olha aqui uma lista de 13.000, mas de certeza que não foi a única:
https://pplware.sapo.pt/informacao/seguranca/ultima-hora-hackers-publicam-13000-passwords-no-ghostbin/
Mais 5 milhões, em 2014
https://pplware.sapo.pt/informacao/alerta-5-milhoes-de-contas-gmail-comprometidas/
e não ficou por aqui 🙁
Caros,
Talvez deva escrever um artigo sobre isso. Mas se tivessem lido todos os artigos da pplware, talvez consigam perceber, aliado a mais alguns conhecimentos de base de dados e de utilização de dados.
Não sou nenhum guru nem nenhum especialista, e posso dizer que os meus conhecimentos informáticos são de longe profuntos.
O que escrevo é apenas baseados nos meus poucos conhecimentos e da minha intuição e experiência.
1. Um dos algoritmos mais utilizados é MD5. E é isto que é guardado nas BD.
2. Uma das finalidades das aplicações estarem em base de dados é poder analisarem as informações. Logo é possível analisar a tabela onde está guardada as palavras passes. Mesmo estando encriptadas, podemos fazer agrupamentos e verificar qual é o texto que mais vezes aparece.
3. Existe base de dados online que nos devolvam a palavra-passe equivalente ao texto referido anteriormente. (reverse engineering)
4. Perguntam, onde vem essa BD? Simples. Já ouviram falar da força bruta. Em vez de testarem por força bruta uma palavra-passe, é possível criar uma aplicação que gera as palavras passes, converte-la com MD5 num texto, e guarda-las numa BD.
5. Quem diz MD5, pode dizer outros algoritmos. A regra de 20/80 também se aplica. Com os 20% de algoritmos mais utilizados, podemos cobrir 80%, ou até mais.
Trabalho em IT, mas considero-me um leigo nesta área, agora quem é profissional deve haver muitas ferramentes e conhecimentos para obter aquela informação.
Nota final: Não é preciso nenhuma teoria de conspiração. O que é feito pelo homem, pode ser desfeito pelo homem.
O que refere é mo essencial ataque por “tabelas (pré-calculadas) de arco-íris” (rainbow tables).
A defesa é muito simples e bem conhecida à muito tempo. Basta adicionar uma cadeia de caracteres aleatórios a cada password antes de calculara o hash correspondente (no caso refere o MD5). É o que se chama salgar a password.
Esse procedimento expande ENORMEMENTE o espaço das passwords e torna o ataque muito difícil, se não impossível.
Note-se que a probabilidade de um dado utilizador ser vítima desse tipo de assaltos, mesmo com passwords não salgados é muito baixa – o ataque apenas funciona atacando simultaneamente muitas contas, sendo baixa a probabilidade de alguma determinada ser atacada com sucesso, é elevada a probabilidade de pelo menos uma o ser, se não for usado o sal.
Não há nenhuma razão na actualidade para que as passwords não serem salgadas, a não ser, eventualmente, a falta de formação dos responsáveis.
De qualquer maneira usado passwords de mais de 20 caracteres aleatórios, não tenho conhecimento de nenhum ataque possível, mesmo que teórico e mesmo que o password não seja salgado.
Ressalvando, claro, o factor humano. Acerca disso estou de acordo que pouco se pode fazer.
E já agora qual o melhor “gestor de passwords” que conhecem para os diversos SO?
#LastPassForLife
Testei vários e uso o KeePass há bastante tempo.
+1
+2
Keeppass.
Mantens a tua Base de dados no teu PC, foram do alcance de qqlr empresa/cloud, e tens apps para:
Android
Windows
Linux
No que toca à apple desconheço.
melhor é o steganos password manager. Na minha opinião não há melhor
Um caderno, uma caneta de quatro cores, uma lapiseira e borracha.
Com a vermelha, escrevo o nome dos serviços, com a preta, sublinho o nome do serviço para ficar mais destacado, com a azul, a informação de login, e com a lapizeira, a password.
e quando perdes o papelinho? ups
Nem pensar confiar nesses gestores de password.
É impossível perder caderno lol, ainda mais se estiver por exemplo dentro de um cofre, e como sou solteiro, e no futuro espero viver sozinho, não há problemas, está tudo organizado.
keepass(X)
Mas estou a passar para a fase “parte do password” noutro sítio.
Há por aí malware que instala key-logger e copia base de dados do KeePass e outros similares.
pah… ainda uso uma pen com 256mb de capacidade, mesmo antiguinha que tenho escondida lá para casa e sempre que atualizo uma pass atualizo o notepad com a mesma. É esse o meu “gestor de password”. hehe
As pessoas reclamam que são vítimas de hacking mas depois saem estes graphicos wut demonstram que a maior parte tem passwords de merda. Impressionante, não mudem não que isto ainda vai piorar.
A questão é que esta lista, não significa propriamente essa situação.
– Diversos sistemas, vem de fabrica com algumas das indicadas no TOP
– Sites sem grande importância, normalmente levam a uso de passwords básicas
– A maioria das contas “demo” usam esse tipo de passwords
Acho que a culpa é que agora se pede password para tudo e mais alguma coisa.
Para coisas básicas, sem importância, passwords básicas…
Logicamente, a minha password do email ou do PayPal, não estará nesse top…
(para conhecedores…) 😀
“Ken Sent Me”
Reference not found exception.
Já em tempos tinha visto um artigo que dizia que Beatles era a password mais usada no mundo. Não sei como conseguem essa informação, mas na altura não deixava de ter algum interesse na medida em que revelava a persistência de muitos fãs dos fab4. Agora 123456 não tem sequer sumo como notícia. Enfim…
Não é como noticia…é como password 🙂
De facto nem como notícia nem como password. No entanto constato que suscitou imensos comentários. Irónico, não?
Tinha mais piada se a password fosse Beatles123456… :p
Admira-me não pertencer a este top a “incorrect”
Por sorte não conheço ninguém tão estúpido
Password Encryption = Plain Text
É bom saber que não faço parte desta lista.
O vídeo está espetacular.
Estou chocado que “iloveyou” tenha desaparecido.
Já não há amor neste mundo