Em outubro falei sobre uma avaliação da Acunetix, que tirou conclusões interessantíssimas sobre as senhas vazadas de dez mil endereços de e-mail do Hotmail. Um dos achados da empresa, por exemplo, foi que as senhas mais comuns são “123456” e “12345678”.
Pois bem, a Microsoft acaba de publicar os resultados de um estudo complementar àquele, estudo esse no qual a empresa usou uma técnica bastante útil e profissional para descobrir dados dos bandidos virtuais. Trata-se do uso de um “honeypot”, ou “pote de mel”, que é um computador ligado à Internet sem proteção, mas com muita monitoração, cujas violações e tentativas são catalogadas e não causam dano real.
O “honeypot” da Microsoft era composto de um falso servidor de FTP, e o objetivo do mesmo era coletar dados de ataque dos bandidos que tentavam descobrir usuários e senhas válidas para poder roubar dados que pensavam estar armazenados no servidor falso. Esses bandidos utilizam técnicas de “força bruta”, isto é, tentam o máximo número possível de nomes de usuários e senhas até acharem um par que dê acesso de entrada no servidor. Durante dois meses a Microsoft coletou dados desses ataques, e os resultados devem servir de alerta aos usuários domésticos.
Em primeiro lugar, entre os nomes de usuário mais tentados encontram-se “administrator” e “admin”. No caso dos sistemas implantados no Brasil, eu também adicionaria “administrador”, que é o termo em português. Além desses, os bandidos também tentaram nomes comuns em inglês, como “andrew”, “dave”, “steve”, “paul” e “adam”, que também são nomes bastante comuns em inglês. Fica como aviso para quem tem nome comum em português e o utiliza na hora de se cadastrar num sistema qualquer. O relatório alerta para o fato de que se um sistema não trava após um número fixo de tentativas erradas (em geral três é o limite para sistemas com esse tipo de mecanismo), então se o bandido descobre o nome do usuário, isso já é meio caminho andado para que consiga sucesso no ataque. Se seu nome de login é fácil de ser deduzido, a sugestão é para que você se preocupe e muito com a criação de uma senha que não seja trivial. Um dos bandidos tentou mais de 400.000 combinações de usuário e senha. Pense no seu caso hoje e decida se um pilantra com tempo de sobra conseguiria descobrir seu usuário e senha em 400.000 tentativas. Conheço vários usuários que não exigiriam nem 400 tentativas, que dirá 400.000.
O estudo da Microsoft aponta ainda para um link muito útil: uma página de teste de senhas, em que o usuário coloca uma sequência candidata a senha e a robustez da mesma é testada imediatamente. Vale a pena tentar, para descobrir se aquela composição de letras, números e caracteres especiais é considerada forte. E ao fazer isso, mantenha em mente que a maioria das senhas testadas no “honeypot” da Microsoft tinha tamanho 8 ou menor.
Em suma, esse estudo da Microsoft é mais um eloquente aviso de que precisamos tomar muito cuidado com a composição de nossas senhas. Outros virão, com certeza, mas que vantagem há em esperar pra tomar uma atitude?
Ajude-nos a melhorar a qualidade dos artigos desse site deixando na seção de comentários suas dúvidas, críticas e sugestões.
Até a próxima.
Obrigado pela dicas.
ResponderExcluirObrigado a você pela audiência, Wa Mor!
ResponderExcluirvaleu muito pela dica,mas tenho uma duvida,a internet nas nuvens.quando colocamos algum arquivo em um dederminado site,por ex:o skydrive,corremos o risco de ter nossos dados nas mãos de bandidos?
ResponderExcluirdeixo um enorme abraço e parabens pela sua prestação de serviço,boas festas e um ótimo fim de ano.
Oi Ricardo,
ResponderExcluirTenho estudado bastante essa questão da armazenagem dos dados na nuvem, e pretendo escrever um artigo logo no início de 2010 sobre esse assunto.
Voltamos a nos falar em 2010.
Um excelente fim de ano para você e para toda sua família.
Ruy
Oi Rui, tentaram mudar minha senha 3 vezes nos ultimso dias, eu gostaria de saber se ha um programa que possa achar qual ip tentou fazer isto. Pois e crime e pretendo realmente levar isto a serio!
ResponderExcluirMuito Obrigado!
Puxa, Anônimo, que perigo, hein!
ResponderExcluirOlha, descobrir esse IP é cois de forense computacional, e quem é mais indicado para te falar isso é a administração do serviço que tentaram burla. Se foi no GMail, por exemplo, entre em contato com o pessoal do Google e explique o caso.
Sozinho você não vai conseguir, até porque as ferramentas existentes são desenvolvidas por empresas que prestam serviço nessa área. Se você quiser entrar em contato por e-mail, eu posso te orientar com mais detalhes.
Boa semana procê.