10 bilhões de senhas colocadas a venda: qual o verdadeiro risco?
Cerca de 10 bilhões de senhas colocadas a venda na internet acende um alerta de segurança para todos que utilizam a internet.
Um pacote com 10 bilhões de senhas colocadas a venda na internet levanta um sinal de alerta a respeito da segurança dos usuários.
Considerado o maior pacote de senhas já colocado a venda, ele foi apelidado de RockYou2024.
O pacote arquiva as senhas em texto simples (sem criptografia) e aparentemente foi coletado de 4.000 bancos de dados ao longo de duas décadas.
10 bilhões de senhas colocadas a venda: qual o verdadeiro risco?
Sobre esse pacote gigantesco é importante mencionar que uma versão dele com 8 bilhões de senhas já foi divulgado em 2020.
Com esta atualização estima-se que boa parte das senhas já foi trocada e caiu em desuso, reduzindo o potencial do pacote.
É preciso avaliar o pacote e aparentemente ele apresenta essas características:
- Boa parte dos registros parece não serem senhas, mas palavras aleatórias tiradas da Wikipédia
- O pacote parece reunir senhas sem associa-las a uma conta de fato
- Boa parte das senhas parece estarem corrompidas
Por não associar um usuário de login a uma senha o seu potencial é muito reduzido, somando a isso senhas incompletas e desatualizadas o arquivo parece ser mais uma obra de marketing.
O perigo de fato reside na possibilidade desta listagem de senhas ser utilizada em ataques de força bruta.
Com isso, serviços específicos que permitem inúmeras requisições sem proteção podem ser vulneráveis a essa listagem.
Porém isso acaba sendo utilizado para ataques mais dirigidos a um grupo de usuários ou um serviço específico.
Para se proteger dessa listagem o usuário pode proceder com duas ações:
- Trocar as senhas, principalmente as que estejam a muito tempo se alteração
- Habilitar autenticação de dois fatores em todos os serviços