Ainda usando as mesmas senhas, mesmo depois de terem sido violadas
As pessoas em 2022 ainda estão escolhendo senhas inúteis e reutilizando as que já foram violadas
As senhas são um problema que a grande tecnologia está tentando resolver, mas ainda são essenciais para acessar praticamente qualquer coisa online. E mesmo agora as pessoas não as alteram após uma violação e ainda usam a mesma senha para acessar vários sites.
A SpyCloud, uma empresa de segurança, destaca em um novo relatório como as pessoas estão lutando com senhas para várias contas online. Com base em 1,7 bilhão de combinações de nome de usuário e senha coletadas das 755 fontes vazadas em 2021, estima-se que 64% das pessoas usaram a mesma senha exposta em uma violação para outras contas.
As senhas reutilizadas são um problema de segurança em potencial porque, se uma senha for comprometida uma vez, os hackers poderão usá-la para acessar outras contas se ela tiver sido usada como entrada para outro site.
As pessoas também continuam escolhendo senhas ruins. Esse hábito é comum, com os principais exemplos restantes como "123456", "qwerty", "admin" e "password".
O SpyCloud, que se concentrou em senhas reutilizadas, encontrou um aumento nas senhas baseadas em conteúdo de serviços de streaming online, como Netflix e Disney+. A principal senha da 'cultura pop' foi Loki, seguido por Falcon e Wanda.
Das senhas coletadas em violações publicamente disponíveis a partir de 2021 e anteriores, 64% foram usadas para vários sites hoje.
A definição do SpyCloud para 'reutilização' de senha é um pouco confusa e mostra apenas tendências prováveis. Por exemplo, ele conta amostras de reutilização como credenciais coletadas em um vazamento em um ponto no tempo que foram observadas em vazamentos subsequentes aos quais teve acesso. Isso não significa que as pessoas estivessem necessariamente usando a mesma senha em um determinado momento; apenas que a mesma combinação de senha foi observada em violações de dados às quais teve acesso em um determinado período.
“Para usuários que podemos vincular a exposições a violações em 2021 e anos anteriores com o mesmo endereço de e-mail ou nome de usuário explorado, 70% ainda estavam reutilizando as mesmas senhas expostas”, observa.
Embora as estatísticas sejam imprecisas, a empresa aponta uma tendência com a qual muitas pessoas estão familiarizadas. Ou seja, as pessoas têm tantas contas online que não conseguem lembrar boas senhas e a maioria das pessoas não está usando gerenciadores de senhas para Windows , macOS e Android. O gerenciador de senhas integrado da Apple é o KeyChain, mas aplicativos de terceiros para Windows, macOS e dispositivos móveis incluem LastPass e Dashlane.
Indiscutivelmente, a melhor resposta para proteger um computador quando uma senha foi comprometida é usar a autenticação multifator (MFA). Isso significa que um invasor remoto precisa de acesso físico a um segundo fator, como o smartphone do usuário legítimo.
Mas mesmo a Microsoft, fabricante do Windows, descobriu que apenas 22% dos clientes corporativos que podem implementar a MFA realmente o fazem . Isso apesar de a Microsoft compartilhar que 99% das contas comprometidas da Microsoft não tinham MFA habilitada.
E para qualquer um que possa ficar perplexo com as senhas, deve-se lembrar que mesmo os principais engenheiros da Microsoft lutam com o que ela admite ser um problema humano. Há apenas três anos, a Microsoft abandonou sua política do Windows para que as senhas sejam alteradas a cada 60 dias . Isso porque quando mudamos as senhas, muitas vezes fazemos apenas uma pequena e previsível alteração nas senhas existentes – ou esquecemos as novas.