Proponha uma correção, faça uma sugestão
Foi descoberta a maior fuga de palavras-passe da história… E provavelmente está a afetá-lo
Em 2024, as piratarias de dimensão considerável contam-se às dezenas e quase todas as semanas surgem novos casos. Agora, foi revelada uma nova fuga maciça de palavras-passe. Esta não afeta um serviço específico, mas atingiu um marco não muito bom: é a maior na história da Internet.
A maior fuga de palavras-passe da história
Tudo começou na passada quinta-feira, 4 de julho, quando, num dos fóruns de hackers mais importantes do mundo, foi descoberto um ficheiro de tamanho considerável chamado "rockyou2024.txt". Nele encontrava-se a fuga de palavras-passe mais relevante até à data.
Os utilizadores que se atreveram a descarregá-lo e a dar uma vista de olhos depararam-se com um total de 9.948.575.739 palavras-passe - quase 10 mil milhões. Agora, alguns dias após a sua publicação, alguns investigadores determinaram que se trata de uma compilação de ataques antigos e novos.
Mas o que é que o ficheiro contém exatamente? Tanto quanto sabemos, a qualquer pessoa que o descarregue será apresentada uma lista de texto simples de todas as palavras-passe. Não há e-mails, nomes de utilizador ou serviços relacionados: apenas palavras-passe.
Esta fuga afeta-o?
Dada a sua magnitude, é bastante provável que sim. 10 mil milhões de palavras-passe é um número absurdo, pelo que é possível que uma grande parte da população mundial esteja presente - anonimamente, claro - neste enorme arquivo.
De acordo com os especialistas, as passwords divulgadas podem conter algumas de há 20 anos, mas também algumas muito recentes. Por conseguinte, as suas palavras-passe podem estar expostas no arquivo e uma pirataria de brute force pode permitir o acesso a alguns dos serviços que utiliza na Internet.
Tal como é provável que as suas palavras-passe estejam neste ficheiro, também é provável que alguém o vise para um destes ataques. Os acessos de brute force não são fáceis de executar, pelo que não estão disponíveis para todos.
Dito isto, embora seja pouco provável que alguém aceda ao seu Gmail, Netflix ou Amazon, as declarações de especialistas apontam para a recomendação de alterar as suas passwords, especialmente se utilizar a mesma para um grande número de serviços.
Leia também:
Loading ...
fizeram uma nova compilação de passwords
Balelas, se não tem o username, o mail ou qualquer outra parte que associe a palavra passe uma entidade ou individuo, isso não é absolutamente nada.
não deves saber o que faz um brute force, mas eu explico, para um login vai testar todas as tentativas de passwords conhecidas… 2+2 = ?!?!
Que tem uma coisa a ver com a outra ? Qual é a diferença em descarregares um ficheiro com milhões de strings e um programa a gerar milhões de strings ? Se esse ficheiro tem milhões de palavras passe… pois o gerador de strings também as pode criar para o brut force. Em suma esse ficheiro não é absolutamente nada.
A diferença é a quantidade de passwords usadas vs não usadas
Se considerarmos que as passwords têm no máximo um comprimento de 10 caracteres.
Constituídas “apenas” por dígitos de 0 a 9, e a 26 letras básicas ocidentais de “a” a “z”, sem cedilhas, acentos ou equivalentes. Maiúsculas e minúsculas.
São 10 dígitos, 26 letras minúsculas + 26 letras maiúsculas, ou seja, 62 caracteres, recetíveis 10 vezes, ou seja, 62 elevado a 10.
Um programa que gere estas strings todas, vai gerar 839.299.365.868.340.224 strings diferentes. Para strings com um comprimento máximo de 10 míseros caracteres! Só com dígitos e letras básicas!
10.000.000.000 nem sequer é comparável.
Além disso, dessas 10k milhões muitas hão de ser repetidas e idênticas.
Neste exemplo, esse ficheiro acelera o brute force numa porção de 83 milhões de vezes mais rápido.
Se as passwords forem maiores e mais complexas, esse ganho é ainda maior.
Como se conseguissem fazer tentativas de login infinitas em todos os serviços. Dificilmente a maioria dos serviços permite tentativas de entrada inifintas sem bloquear
“Os acessos de brute force não são fáceis de executar, pelo que não estão disponíveis para todos.”
serviços online deve estar protegido na maioria deles, offline nem tanto
Dá para dar a volta a esses bloqueios através de proxies
Então e o brute force amigo? Se eu agarrar no email do meu tio avô e meter um script a fazer brute force consultando esse ficheiro, aka, dicionário, não poderei ter a sorte na pesca?
Demora? Dá trabalho? Poderá não resultar? Sim
Mas se resultar e eu tiver acesso à sua conta e tirar uns milhares?
Bem sei dos métodos de autenticação 2 fatores, SMS tokens e o resto deles mas ainda assim não se pode dizer que isto são balelas amigo.
alterem as password sim.
No mês que vem voltam a ser hackeadas milhões de contas, enfim 🙂
É um ciclo infinito…
Se for esse o ciclo infinito e ninguém te roubar as contas, vais ter muita sorte. Fica contente por teres tempo de a mudar.
Eu tambem sei o numero de telemovel e de telefone de toda a gente!
So nao sei a quem pertence.
Isto nao e nada mais que um dicionario. As palavras passe estao la, so nao se sabe a quem pertence.
Tive algumas palavras passe de ha 10 anos em que o google ja disse que essa pass ja esta na lista. Na boa, sao para paginas e contas da treta de uso quase unico.
Parece-me que não há nada de perigoso!
Num fóruns de hackers que querem visibilidade!
Caramba, descobriram minha hiper senha impossivel 1234567. Estou assustado
Qualquer programa pode gerar infinitas pass para fazer o brute force attack, por isso é que há um número de tentativas limite num limite de tempo, talvez daqui a 100 anos entrem nessas contas da treta que tenho, já os mails e contas importantes a pass a usar é outra bem mais forte….
Os sistemas em si até são seguros, o que faz deles inseguros é o utilizador, nunca vai haver sistema nenhum eficaz por mais seguro que seja se o utilizador em um ou outro momento revelar dados de acesso…..
como se vê, nao sabeis o que e um brute force!!!!, eu testar 1 milhao de PW seguidos (ou seja começar no 0 e acabar no 999.999) nao é a mesma coisa que ter 1 milhao de PW aleatorias.
alias eu ate posso ter 1 milhao de PW que nem sequer tenha um desses numeros acima referidos.
Uma PW com 4 caracteres nao tem so 9.999 combinaçoes, se incluires letras e caracteres especiais. tem uma infinidade de soluçoes. nem consigo calcular esse resultado rapidamente.
Lista de passwords… milhões! Normal…a quantidade de plataformas e utilizadores que existem ou existiram…
Vale o que vale este alerta…Autenticação de dois fatores hoje em dia deveria ser obrigatório …
Nunca ninguém está seguro!
Um caso raro onde há fumo mas não há fogo 🙂
Alguém tem o link para o ficheiro?
Eheheh
tem aí magnet:?xt=urn:btih:4e3915a8ecf6bc174687533d93975b1ff0bde38a&dn=rockyou2024.zip
Para já, desde a última compilação feita pelos mesmo só apareceram 1 e tal milhões novas passwords. E todas são de leaks já conhecidos. Isto é uma compilação.
Os problemas que eu vejo com isto são 2. Um menos grave e outro muito mais grave. O menos grave é que esta compilação pode ser usada por um programa que corre todos esses milhões de passwords em fracções de segundo com um computador normal e aposto que 90% das contas do mundo são acedidas por uma password nesta lista. A gravidade é relativa porque estas passwords já estavam disponíveis e quem leva a sério já as tinham. Alguém disse que sem o usernme só a password não serve de nada mas também já existem listas de usernames e o Linux tem sempre o utilizador root. Além disso, com o aumento das capacidades computacionais das placas gráficas o brute force (o computador corre todas as combinações possíveis dentro do mapa de caracteres definido para essa password) tornou-se viável sem um super computador. A cerca de 20 anos experimentei uma ferramenta que para uma password de uns 6 caracteres só com letras (maiúsculas e minúsculas) demorava uns 300 anos no meu computador (os NÃO são os certos mas são para exemplificar). Essa aplicação até tinha um método misto em que eu podia colocar um “dicionário” (a lista de palavras ou lista de passwords conhecidas) e fazia a brute force primeiro à volta de combinações dessas palavras…. demora uns 150 anos… Agora, uma password alfanumérica de 12 dígitos mais caracteres especiais uma placa gráfica faz em 10 minutos (outra vez um exagero mas não é na ordem de anos se percebem o que eu quero dizer).
O segundo problema que eu vejo é o facto de de alguma maneira (que eu não sou capaz de apontar mesmo o dedo) isto sirva para treinar IA para encontrar alguns padrões marados. Mas, outra vez, quem tem interesse e percebe já tinhas estás listas todas…
pergunta estupida… assumindo que sao 10 mil milhoes de palavras passes differentes… sao 10 mil. milhoes de palavras combinadas que nao podemos usar ? tipo entao nao. importa qual a palavra passe nova vai estar sempre na lista (?!) lol
longe disso, com apenas 4 letras e apenas sendo uma letra em maiusculas podes ter 1827904… logo as combinacoes possiveis sao de numeros impressionantes, o ficheiro em causa tem “mto pcas” passwords na realidade, apesar das ultimas versoes ter cerca de 130mb so em texto. Eu tenho mtas password e algumas ate bastante inseguras, e nenhuma das que tenho estao la. Logo digo com seguranca que nao é nada facil, se as pessoas usarem numero, letras, caractares e maisculas.
Posso ter um script a gerar passwords e uma banco de passwords, bem uma boa password com servidor bem configurado com limite de tentativas num espaço de tempo será muito mas mesmo muito difícil encontrar em tempo útil, se a minha pass está na outra opção que é o banco de dados então já fui eu que fiz asneira e num ou outro momento a divulguei…..mais uma vez digo os sistemas são seguros, quem faz deles inseguros é o utilizador qdo cede dados de acesso ou anda em sites que não deve…..
Isto deve ser só para os amigos
O teu comentário tinha ficado preso. Depois foste mal-educado, insultuoso, e o sistema removeu os insultos. Isso não abona muito a teu favor.
“A maior fuga de palavras-passe da história
Tudo começou na passada quinta-feira, 4 de julho, quando, num dos fóruns de hackers mais importantes do mundo, foi descoberto um ficheiro de tamanho considerável chamado “rockyou2024.txt”. Nele encontrava-se a fuga de palavras-passe mais relevante até à data.”
De que fórum de hackers se trata?