Como ganhar dinheiro na Internet
Como ganhar dinheiro na Internet

segunda-feira, 30 de agosto de 2010

Como eu quebraria suas senhas fracas


do original (How I’d Hack Your Weak Passwords)
imagem de um cadeado
Achei o artigo bastante instrutivo e esclarecedor, principalmente para quem não tem muita intimidade com informática ter uma noção da importância de se criar senhas fortes. Não traduzi o original de forma fidedigna e os links são para artigos e sites em inglês, mas creio que a essência está aí:
O especialista em padrões da Internet, CEO da companhia web iFusion Labs, e blogger John Pozadzides sabe uma coisa ou outra sobre segurança de senhas – e ele sabe exatamente como quebraria as senhas fáceis que você usa por toda a Internet.
Nota: O objetivo deste artigo não é ser um guia para explorar as senhas fracas de outras pessoas e sim ajudar a entender melhor a segurança de suas senhas e como melhorá-la.
Se você me convidasse para tentar quebrar sua senha, você sabe… aquela que você usa e usa por toda página que você visita, quantas tentativas você acha que eu precisaria até obtê-la ?
Vamos ver…aqui está a minha lista das 10 melhores maneiras. Eu posso obter a maior parte dessa informação muito mais facilmente do que você pensa , daí eu poderia chegar a seu e-mail, computador ou banco online. Após isso, se eu conseguir entrar em uma das contas, eu provavelmente entraria em todas elas.
  1. Nome do seu parceiro, filho ou animal de estimação, possivelmente seguido por um 0 ou 1 (por que eles estão sempre te obrigando a usar um número, certo?).
  2. Os últimos 4 dígitos do seu seguro social .
  3. 123 ou 1234 ou 123456.
  4. “senha” , “password”.
  5. Sua cidade, colégio ou time de futebol.
  6. Data de nascimento – sua, de seus pais ou filho.
  7. “deus”.
  8. deixemeentrar”.
  9. “dinheiro”.
  10. “amor”.
Estatisticamente falando, este tipo de tentativa cobriria aproximadamente 20% de você.Mas não se preocupe. Se eu ainda não consegui sua senha, isto provavelmente levará apenas mais uns minutos.
Hackers, e eu não falo aqui do tipo ético, desenvolveram uma vasta gama de ferramentas para pegar seus dados pessoais. E o principal impedimento entre seus dados permanecerem a salvo ou expostos, é a senha que você escolhe.(Ironicamente, a melhor proteção que as pessoas tem é a que eles levam menos a sério.)
Uma das formas mais simples de obter acesso às suas informações é através do uso de um ataque de “força bruta”. Isso é feito quando um hacker usa softwares específicos que tentam se registrar em um site usando suas credenciais.  O site insecure.org tem uma lista dos 10 melhores quebradores de senhas gratuitos bem aqui.
Então, como alguém poderia se aproveitar disso para quebrar a sua segurança?
Simples. Siga a lógica:
  • Você provavelmente usa a mesma senha para várias das suas coisas certo?
  • Alguns sites que você acessa, como seu banco ou rede do trabalho tem uma segurança descente, então eu não vou atacá-los.
  • No entanto, outros sites como fóruns que você frequenta, lojas online que você comprou, entre outros, podem não estar tão bem preparados. Então trabalharei nestes.
  • Então, tudo que temos que fazer é executar Brutus, wwwrack ou THC Hydra em seus servidores com instruções para tentar, digamos, 10.000 (ou 100.000 – qualquer número que me deixe feliz) nomes de usuário e senhas o mais rápido possível.
  • Uma vez que tenhamos vários pares de nome de usuário e senha, podemos então voltar e testá-los nos sites alvo.
  • Mas espere… Como eu sei que banco você usa e qual o nome de usuário que você usa nos sites que frequenta ?
Bem, essa informação está toda armazenada na forma de “cookies”, descriptografadas e bem organizadas no cache do seu navegador de Internet. (Leia este post para resolver este problema.)
E com que velocidade isto pode ser feito? Bem, depende de três coisas, o tamanho e complexidade da sua senha, a velocidade do computador do hacker e a velocidade da conexão de Internet do hacker.
Assumindo que o hacker tem uma conexão e um PC relativamente rápidos, aqui está uma estimativa de quanto tempo ele levaria para gerar todas as possíveis combinações de senha para um dado número de caracteres. Depois de gerada a lista, é apenas uma questão de tempo antes que o computador percorra todas as possíveis possibilidades – ou seja desligado tentando.
Preste especial atenção na diferença entre usar apenas caracteres minúsculos ou usar todos os possíveis caracteres. (maiúsculos, minúsculos, e caracteres especiais – como @#$%^&*).
Tamanho da SenhaTodos os caracteresApenas minúsculos
3 caracteres
4 caracteres
5 caracteres
6 caracteres
7 caracteres
8 caracteres
9 caracteres
10 caracteres
11 caracteres
12 caracteres
13 caracteres
14 caracteres		0.86 segundos
1.36 minutos
2.15 horas
8.51 dias
2.21 anos
2.10 séculos
20 milênios
1,899 milênios
180,365 milênios
17,184,705 milênios
1,627,797,068 milênios
154,640,721,434 milênios		0.02 segundos
.046 segundos
11.9 segundos
5.15 minutos
2.23 horas
2.42 dias
2.07 meses
4.48 anos
1.16 séculos
3.03 milênios
78.7 milênios
Adicionar apenas uma letra maiúscula e um asterisco mudaria o tempo de processamento de uma senha de 8 caracteres de 2.4 dias para 2.1 séculos!
Lembre-se de que isto é simplesmente para um computador de nível médio, e assumimos que você não está usando nenhuma palavra de dicionário. Se o Google pusesse seus computadores nesta tarefa, eles terminariam umas 1000 vezes mais rápido.
Agora, eu poderia seguir por horas e horas lhe falando sobre todo o tipo de maneira de comprometer a sua segurança e fazer a sua vida miserável – mas 95% destes métodos começam com o comprometimento da sua senha fraca. Então, por que você não se protege logo do começo e dorme tranqüilo a noite ?
Acredite em mim, eu conheço a importância de se escolher senhas que sejam possíveis de se lembrar. Mas se você vai fazer isso, que tal usar algo que ninguém vai adivinhar E não contenha nenhuma palavra ou frase comum.
Aqui estão algumas dicas :
  1. Aleatoriamente substitua números por letras similares. A letra “o” pode se tornar o número “0” (zero), ou mesmo um “@” ou “*”.  (ex: m0d3ltf0rd ao invés de  modelTford)
  2. Aleatoriamente coloque letras maiúsculas (ex: Mod3lTF0rd)
  3. Pense em alguma coisa a que você era ligado na sua infância, mas NÃO ESCOLHA UM NOME DE PESSOA! Todo nome e palavra no dicionário falhará sob um simples ataque de força bruta.
  4. Talvez um lugar que você goste, ou um carro específico, um restaurante favorito?
  5. Você realmente precisa ter uma de usuário/senha diferentes para tudo. Lembre-se que a técnica é entrar em qualquer site que você use para descobrir sua senha padrão, e a partir daí comprometer tudo. Isto não funcionará se você não usar a mesma senha em qualquer lugar.
  6. Já que pode ser difícil se lembrar de toneladas de senhas, eu recomendo o uso doRoboform para usuários de Windows. Ele armazenará todas as suas senhas em um formato encriptado e permitirá que você use apenas uma senha mestre para acessar todas as outras. Ele também preenche formulários em páginas web automaticamente e você pode até usar uma versão que lhe permite levar toda a sua lista de senhas com você no seu PDA, celular ou pendrive. (nota: os usuários da Lifehacker amam
    usar o aplicativo, open-source KeePass para esta tarefa, enquanto outros advogam pelaaplicação web LastPass.)
  7. Usuários de Mac podem usar 1Password.Ele é essencialmente a mesma coisa, exceto que para Mac e pode ser usado com um celular iPhone também.
  8. Após ter pensado em uma senha, use o testador de senhas da Microsoft para descobrir o quanto ela é segura.
Atendendo a pedidos, criei também um vídeo de demonstração do Roboform. Espero que ajude…
Outra dica é ter em mente que algumas senhas que você acha que são pouco importantes, são as que mais importam. Por exemplo, algumas pessoas acham que suas senhas de email não são importantes porque “Eu não tenho nada importante lá.” Bem,  sua conta de email provavelmente tem alguma informação sobre o site do seu banco ou algum outro site que você usa. Se eu puder comprometê-lo e logar no site, posso informar a algum destes sites que perdi minha senha e requisitar que me envie uma nova por email. Agora, o que você estava dizendo sobre isso não ser importante ?
Frequentemente as pessoas também dizem que todas as suas senhas e logins estão armazenadas em seus computadores em casa, e que é seguro porque estão atrás de um roteador ou firewall, mas eles nunca se importaram em mudar a senha padrão do aparelho, então alguém pode se aproximar da casa com um laptop e quebrar o rede sem fio e então tentar as senhas desta lista até obter o controle da rede – depois disso eles terão você !
Agora, eu sei que existem pessoas que exageram nestes argumentos para que nos movamos e façamos algo, mas confie em mim, esta não é uma destas ocasiões  Existem umas 50 outras maneiras de ser comprometido e punido por usar senhas fracas que eu nem mencionei aqui.
Eu também sei que a maioria das pessoas simplesmente não liga pra tudo isso até que seja muito tarde e elas tenham aprendido a lição da maneira mais difícil. Mas por que você não nos faz um favor e toma alguma atitude para tornar suas senhas mais seguras me fazendo acreditar que todo o tempo que passei escrevendo este artigo não foi completamente em vão?
Por favor, proteja-se. É uma selva lá fora.
Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)