PplWare Mobile

“123456” foi a password mais famosa em 2014

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. paulosoousa says:

    gostaria de saber como é que essa empresa tem acesso a esses dados.. da que pensar

    • JJ says:

      Estava a pensar no mesmo…
      Como é que eles sabem qual é as passwords mais utilizadas?

    • Benchmark do iPhone 6 says:

      Todos os anos são “hackadas” e publicadas listas de milhares e milhares de passwords. Que eu saiba, é daí que saem as listas das passwords mais usadas.

      Olha aqui uma lista de 13.000, mas de certeza que não foi a única:

      https://pplware.sapo.pt/informacao/seguranca/ultima-hora-hackers-publicam-13000-passwords-no-ghostbin/

    • Alex says:

      Caros,

      Talvez deva escrever um artigo sobre isso. Mas se tivessem lido todos os artigos da pplware, talvez consigam perceber, aliado a mais alguns conhecimentos de base de dados e de utilização de dados.
      Não sou nenhum guru nem nenhum especialista, e posso dizer que os meus conhecimentos informáticos são de longe profuntos.
      O que escrevo é apenas baseados nos meus poucos conhecimentos e da minha intuição e experiência.

      1. Um dos algoritmos mais utilizados é MD5. E é isto que é guardado nas BD.

      2. Uma das finalidades das aplicações estarem em base de dados é poder analisarem as informações. Logo é possível analisar a tabela onde está guardada as palavras passes. Mesmo estando encriptadas, podemos fazer agrupamentos e verificar qual é o texto que mais vezes aparece.

      3. Existe base de dados online que nos devolvam a palavra-passe equivalente ao texto referido anteriormente. (reverse engineering)

      4. Perguntam, onde vem essa BD? Simples. Já ouviram falar da força bruta. Em vez de testarem por força bruta uma palavra-passe, é possível criar uma aplicação que gera as palavras passes, converte-la com MD5 num texto, e guarda-las numa BD.

      5. Quem diz MD5, pode dizer outros algoritmos. A regra de 20/80 também se aplica. Com os 20% de algoritmos mais utilizados, podemos cobrir 80%, ou até mais.

      Trabalho em IT, mas considero-me um leigo nesta área, agora quem é profissional deve haver muitas ferramentes e conhecimentos para obter aquela informação.

      Nota final: Não é preciso nenhuma teoria de conspiração. O que é feito pelo homem, pode ser desfeito pelo homem.

      • Jose Simoes says:

        O que refere é mo essencial ataque por “tabelas (pré-calculadas) de arco-íris” (rainbow tables).

        A defesa é muito simples e bem conhecida à muito tempo. Basta adicionar uma cadeia de caracteres aleatórios a cada password antes de calculara o hash correspondente (no caso refere o MD5). É o que se chama salgar a password.

        Esse procedimento expande ENORMEMENTE o espaço das passwords e torna o ataque muito difícil, se não impossível.

        Note-se que a probabilidade de um dado utilizador ser vítima desse tipo de assaltos, mesmo com passwords não salgados é muito baixa – o ataque apenas funciona atacando simultaneamente muitas contas, sendo baixa a probabilidade de alguma determinada ser atacada com sucesso, é elevada a probabilidade de pelo menos uma o ser, se não for usado o sal.

        Não há nenhuma razão na actualidade para que as passwords não serem salgadas, a não ser, eventualmente, a falta de formação dos responsáveis.

        De qualquer maneira usado passwords de mais de 20 caracteres aleatórios, não tenho conhecimento de nenhum ataque possível, mesmo que teórico e mesmo que o password não seja salgado.

        Ressalvando, claro, o factor humano. Acerca disso estou de acordo que pouco se pode fazer.

  2. Rui says:

    E já agora qual o melhor “gestor de passwords” que conhecem para os diversos SO?

  3. Miguel Neto says:

    As pessoas reclamam que são vítimas de hacking mas depois saem estes graphicos wut demonstram que a maior parte tem passwords de merda. Impressionante, não mudem não que isto ainda vai piorar.

    • JJ says:

      A questão é que esta lista, não significa propriamente essa situação.

      – Diversos sistemas, vem de fabrica com algumas das indicadas no TOP
      – Sites sem grande importância, normalmente levam a uso de passwords básicas
      – A maioria das contas “demo” usam esse tipo de passwords

  4. JJ says:

    Acho que a culpa é que agora se pede password para tudo e mais alguma coisa.

    Para coisas básicas, sem importância, passwords básicas…

    Logicamente, a minha password do email ou do PayPal, não estará nesse top…

  5. Fernando Jorge says:

    (para conhecedores…) 😀

    “Ken Sent Me”

  6. Charles Longway says:

    Já em tempos tinha visto um artigo que dizia que Beatles era a password mais usada no mundo. Não sei como conseguem essa informação, mas na altura não deixava de ter algum interesse na medida em que revelava a persistência de muitos fãs dos fab4. Agora 123456 não tem sequer sumo como notícia. Enfim…

  7. Rui Cruz says:

    Admira-me não pertencer a este top a “incorrect”

  8. rmcrys says:

    Por sorte não conheço ninguém tão estúpido

  9. JX says:

    Password Encryption = Plain Text

  10. Joana says:

    É bom saber que não faço parte desta lista.

  11. Paulo Pires says:

    O vídeo está espetacular.

  12. Jose Simoes says:

    Estou chocado que “iloveyou” tenha desaparecido.

    Já não há amor neste mundo

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.