Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ver o relatório do projeto de honeypot de ataques a senhas realzado pela Microsoft.
Clique aqui para testar se uma sequência é forte o suficiente para servir de senha.
Para ler esse artigo, clique no botão abaixo.
Em outubro falei sobre uma avaliação da Acunetix, que tirou conclusões interessantíssimas sobre as senhas vazadas de dez mil endereços de e-mail do Hotmail. Um dos achados da empresa, por exemplo, foi que as senhas mais comuns são “123456” e “12345678”.
Pois bem, a Microsoft acaba de publicar os resultados de um estudo complementar àquele, estudo esse no qual a empresa usou uma técnica bastante útil e profissional para descobrir dados dos bandidos virtuais. Trata-se do uso de um “honeypot”, ou “pote de mel”, que é um computador ligado à Internet sem proteção, mas com muita monitoração, cujas violações e tentativas são catalogadas e não causam dano real.
O “honeypot” da Microsoft era composto de um falso servidor de FTP, e o objetivo do mesmo era coletar dados de ataque dos bandidos que tentavam descobrir usuários e senhas válidas para poder roubar dados que pensavam estar armazenados no servidor falso. Esses bandidos utilizam técnicas de “força bruta”, isto é, tentam o máximo número possível de nomes de usuários e senhas até acharem um par que dê acesso de entrada no servidor. Durante dois meses a Microsoft coletou dados desses ataques, e os resultados devem servir de alerta aos usuários domésticos.
Em primeiro lugar, entre os nomes de usuário mais tentados encontram-se “administrator” e “admin”. No caso dos sistemas implantados no Brasil, eu também adicionaria “administrador”, que é o termo em português. Além desses, os bandidos também tentaram nomes comuns em inglês, como “andrew”, “dave”, “steve”, “paul” e “adam”, que também são nomes bastante comuns em inglês. Fica como aviso para quem tem nome comum em português e o utiliza na hora de se cadastrar num sistema qualquer. O relatório alerta para o fato de que se um sistema não trava após um número fixo de tentativas erradas (em geral três é o limite para sistemas com esse tipo de mecanismo), então se o bandido descobre o nome do usuário, isso já é meio caminho andado para que consiga sucesso no ataque. Se seu nome de login é fácil de ser deduzido, a sugestão é para que você se preocupe e muito com a criação de uma senha que não seja trivial. Um dos bandidos tentou mais de 400.000 combinações de usuário e senha. Pense no seu caso hoje e decida se um pilantra com tempo de sobra conseguiria descobrir seu usuário e senha em 400.000 tentativas. Conheço vários usuários que não exigiriam nem 400 tentativas, que dirá 400.000.
O estudo da Microsoft aponta ainda para um link muito útil: uma página de teste de senhas, em que o usuário coloca uma sequência candidata a senha e a robustez da mesma é testada imediatamente. Vale a pena tentar, para descobrir se aquela composição de letras, números e caracteres especiais é considerada forte. E ao fazer isso, mantenha em mente que a maioria das senhas testadas no “honeypot” da Microsoft tinha tamanho 8 ou menor.
Em suma, esse estudo da Microsoft é mais um eloquente aviso de que precisamos tomar muito cuidado com a composição de nossas senhas. Outros virão, com certeza, mas que vantagem há em esperar pra tomar uma atitude?
Ajude-nos a melhorar a qualidade dos artigos desse site deixando na seção de comentários suas dúvidas, críticas e sugestões.
Até a próxima.
Pois bem, a Microsoft acaba de publicar os resultados de um estudo complementar àquele, estudo esse no qual a empresa usou uma técnica bastante útil e profissional para descobrir dados dos bandidos virtuais. Trata-se do uso de um “honeypot”, ou “pote de mel”, que é um computador ligado à Internet sem proteção, mas com muita monitoração, cujas violações e tentativas são catalogadas e não causam dano real.
O “honeypot” da Microsoft era composto de um falso servidor de FTP, e o objetivo do mesmo era coletar dados de ataque dos bandidos que tentavam descobrir usuários e senhas válidas para poder roubar dados que pensavam estar armazenados no servidor falso. Esses bandidos utilizam técnicas de “força bruta”, isto é, tentam o máximo número possível de nomes de usuários e senhas até acharem um par que dê acesso de entrada no servidor. Durante dois meses a Microsoft coletou dados desses ataques, e os resultados devem servir de alerta aos usuários domésticos.
Em primeiro lugar, entre os nomes de usuário mais tentados encontram-se “administrator” e “admin”. No caso dos sistemas implantados no Brasil, eu também adicionaria “administrador”, que é o termo em português. Além desses, os bandidos também tentaram nomes comuns em inglês, como “andrew”, “dave”, “steve”, “paul” e “adam”, que também são nomes bastante comuns em inglês. Fica como aviso para quem tem nome comum em português e o utiliza na hora de se cadastrar num sistema qualquer. O relatório alerta para o fato de que se um sistema não trava após um número fixo de tentativas erradas (em geral três é o limite para sistemas com esse tipo de mecanismo), então se o bandido descobre o nome do usuário, isso já é meio caminho andado para que consiga sucesso no ataque. Se seu nome de login é fácil de ser deduzido, a sugestão é para que você se preocupe e muito com a criação de uma senha que não seja trivial. Um dos bandidos tentou mais de 400.000 combinações de usuário e senha. Pense no seu caso hoje e decida se um pilantra com tempo de sobra conseguiria descobrir seu usuário e senha em 400.000 tentativas. Conheço vários usuários que não exigiriam nem 400 tentativas, que dirá 400.000.
O estudo da Microsoft aponta ainda para um link muito útil: uma página de teste de senhas, em que o usuário coloca uma sequência candidata a senha e a robustez da mesma é testada imediatamente. Vale a pena tentar, para descobrir se aquela composição de letras, números e caracteres especiais é considerada forte. E ao fazer isso, mantenha em mente que a maioria das senhas testadas no “honeypot” da Microsoft tinha tamanho 8 ou menor.
Em suma, esse estudo da Microsoft é mais um eloquente aviso de que precisamos tomar muito cuidado com a composição de nossas senhas. Outros virão, com certeza, mas que vantagem há em esperar pra tomar uma atitude?
Ajude-nos a melhorar a qualidade dos artigos desse site deixando na seção de comentários suas dúvidas, críticas e sugestões.
Até a próxima.
Obrigado pela dicas.
ResponderExcluirObrigado a você pela audiência, Wa Mor!
ResponderExcluirvaleu muito pela dica,mas tenho uma duvida,a internet nas nuvens.quando colocamos algum arquivo em um dederminado site,por ex:o skydrive,corremos o risco de ter nossos dados nas mãos de bandidos?
ResponderExcluirdeixo um enorme abraço e parabens pela sua prestação de serviço,boas festas e um ótimo fim de ano.
Oi Ricardo,
ResponderExcluirTenho estudado bastante essa questão da armazenagem dos dados na nuvem, e pretendo escrever um artigo logo no início de 2010 sobre esse assunto.
Voltamos a nos falar em 2010.
Um excelente fim de ano para você e para toda sua família.
Ruy
Oi Rui, tentaram mudar minha senha 3 vezes nos ultimso dias, eu gostaria de saber se ha um programa que possa achar qual ip tentou fazer isto. Pois e crime e pretendo realmente levar isto a serio!
ResponderExcluirMuito Obrigado!
Puxa, Anônimo, que perigo, hein!
ResponderExcluirOlha, descobrir esse IP é cois de forense computacional, e quem é mais indicado para te falar isso é a administração do serviço que tentaram burla. Se foi no GMail, por exemplo, entre em contato com o pessoal do Google e explique o caso.
Sozinho você não vai conseguir, até porque as ferramentas existentes são desenvolvidas por empresas que prestam serviço nessa área. Se você quiser entrar em contato por e-mail, eu posso te orientar com mais detalhes.
Boa semana procê.