10 bilhões de senhas colocadas a venda: qual o verdadeiro risco?

10 bilhões de senhas colocadas a venda: qual o verdadeiro risco?

Cerca de 10 bilhões de senhas colocadas a venda na internet acende um alerta de segurança para todos que utilizam a internet.

10 bilhões de senhas colocadas a venda: qual o verdadeiro risco?
10 bilhões de senhas colocadas a venda: qual o verdadeiro risco?

Um pacote com 10 bilhões de senhas colocadas a venda na internet levanta um sinal de alerta a respeito da segurança dos usuários.

Considerado o maior pacote de senhas já colocado a venda, ele foi apelidado de RockYou2024.

O pacote arquiva as senhas em texto simples (sem criptografia) e aparentemente foi coletado de 4.000 bancos de dados ao longo de duas décadas.

10 bilhões de senhas colocadas a venda: qual o verdadeiro risco?

Sobre esse pacote gigantesco é importante mencionar que uma versão dele com 8 bilhões de senhas já foi divulgado em 2020.

Com esta atualização estima-se que boa parte das senhas já foi trocada e caiu em desuso, reduzindo o potencial do pacote.

É preciso avaliar o pacote e aparentemente ele apresenta essas características:

  • Boa parte dos registros parece não serem senhas, mas palavras aleatórias tiradas da Wikipédia
  • O pacote parece reunir senhas sem associa-las a uma conta de fato
  • Boa parte das senhas parece estarem corrompidas

Por não associar um usuário de login a uma senha o seu potencial é muito reduzido, somando a isso senhas incompletas e desatualizadas o arquivo parece ser mais uma obra de marketing.

O perigo de fato reside na possibilidade desta listagem de senhas ser utilizada em ataques de força bruta.

Com isso, serviços específicos que permitem inúmeras requisições sem proteção podem ser vulneráveis a essa listagem.

Porém isso acaba sendo utilizado para ataques mais dirigidos a um grupo de usuários ou um serviço específico.

Para se proteger dessa listagem o usuário pode proceder com duas ações:

  • Trocar as senhas, principalmente as que estejam a muito tempo se alteração
  • Habilitar autenticação de dois fatores em todos os serviços

matrix