- Dia 4 de maio celebra-se o Dia Mundial da Palavra-Passe e a Check Point Software revela que os ataques para obter palavras-passe passaram dos CPUs para os GPUs, melhorando a sua eficácia ao verificar mais de um milhão de senhas por segundo.
- As palavras-passe precisam agora de novos requisitos para serem verdadeiramente seguras: um número mínimo de 12 caracteres, a utilização de letras maiúsculas e minúsculas, números e carateres especiais.
Luanda, 2 de maio de 2023 – Todos os anos, na primeira quinta-feira de Maio, que este ano é dia 4 de maio, comemora-se o Dia Mundial da Palavra-Passe, um cenário perfeito no qual a Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder mundial especializado em cibersegurança, aproveita a oportunidade para recordar a importância de dedicar um cuidado especial às palavras-passe, já que estas constituem uma das principais barreiras contra os cibercriminosos.
As palavras-passe são utilizadas por milhares de milhões de utilizadores em todo o mundo, mas apesar da sua enorme importância, continua a existir um elevado número de más práticas quando se trata de as gerir e criar. Em 2019, o Centro Nacional de Cibersegurança do Reino Unido revelou que 23 milhões de pessoas em todo o mundo continuam a utilizar palavras-passe inseguras como “123456”, o que demonstra que muitos utilizadores ainda não estão conscientes dos potenciais perigos.
Mas este não é o único problema que enfrentamos. Os avanços tecnológicos incessantes não só beneficiam os utilizadores, como também proporcionam aos cibercriminosos novas ferramentas para levar a cabo os seus ataques. As palavras-passe que outrora eram consideradas seguras estão agora a tornar-se desatualizadas, criando vulnerabilidades.
O surgimento de novas placas gráficas com memória virtual (VRAM) abriu a porta para que estes dispositivos de hardware processem dados a alta velocidade, da mesma forma que são utilizados na extração de criptomoedas. No entanto, também podem ser utilizadas em ciberataques para obter palavras-passe, sendo os modelos mais recentes capazes de efetuar mais de um milhão de verificações em apenas um segundo, muito mais rápido do que o anteriormente conseguido pelas unidades centrais de processamento (CPU). Isto significa que se tivermos uma palavra-passe com menos de 12 caracteres, baseada exclusivamente na utilização de letras e números, esta pode ser violada em apenas alguns dias.
De acordo com o último relatório da Hive Systems, que partilhou os tempos aproximados em que os cibercriminosos poderiam “decifrar” as nossas palavras-passe, estes variam entre um esforço mínimo e tempos quase instantâneos para as palavras-passe mais inseguras, até 438 biliões de anos para as senhas mais robustas. No espaço de apenas um ano, estes mesmos números viram os seus tempos de vulnerabilidade possíveis reduzidos em até 90% que, com a entrada de novos agentes como os serviços na cloud ou a inteligência artificial, poderão ser ainda mais reduzidos nos próximos anos.
O objetivo e as razões são claros, mas o que é que uma palavra-passe precisa para ser segura e forte? A Check Point Software fornece as dicas essenciais para o conseguir:
- Quanto mais longa e variada, melhor: deve ter pelo menos 14-16 caracteres e ser composta por letras diferentes, combinando letras maiúsculas e minúsculas, símbolos e números. No entanto, tem-se verificado que, simplesmente aumentando a palavra-passe até 18 caracteres combinados, é possível construir uma chave completamente inquebrável. Isto baseia-se no número de tentativas que a prática da força bruta requer, em que o número total de combinações é igual ao número de caracteres multiplicado pelo seu comprimento.
- Fácil de lembrar, complexa de adivinhar: deve ser uma combinação que apenas o utilizador conhece, pelo que é aconselhável não utilizar dados pessoais como datas ou aniversários, ou nomes de familiares, uma vez que podem ser mais fáceis de descobrir. Uma forma simples de criar palavras-passe que qualquer pessoa possa recordar é utilizar frases completas, utilizando cenários comuns ou absurdos, com exemplos como ‘omanelrecebeuumcoelho’, ou o seu equivalente ainda mais seguro com caracteres diferentes ‘0M4n3lr3c3beu1c0elh@’.
- Única e irrepetível: crie uma palavra-passe sempre que aceder a um serviço e evite utilizar a mesma palavra-passe em diferentes plataformas e aplicações. Isto garante que, no caso de uma palavra-passe ser violada, os danos serão mínimos e reparáveis de forma mais fácil e rápida. De acordo com um inquérito da Google, pelo menos 65% dos inquiridos reutilizam as suas palavras-passe em várias contas e serviços Web, o que aumenta as probabilidades de violação de várias plataformas ou aplicações.
- Sempre privada: uma premissa que pode parecer básica, mas que é importante recordar. Uma palavra-passe não deve ser partilhada com ninguém, sendo especialmente aconselhável não a escrever perto do computador ou mesmo num ficheiro do mesmo. Para esta tarefa, pode utilizar ferramentas como os gestores de palavras-passe, que fazem o mesmo trabalho, mas de uma forma mais segura.
- A verdadeira segurança está a apenas “dois passos” de distância: para além de ter uma palavra-passe forte e segura, a utilização da autenticação de dois factores é um importante reforço da segurança. Desta forma, sempre que um atacante ou uma pessoa não autorizada quiser aceder à conta de outra pessoa, o proprietário da conta receberá uma notificação no seu telemóvel para conceder ou recusar o acesso.
- Alterá-la periodicamente: por vezes, mesmo depois de seguir todas estas práticas, ocorrem incidentes fora do nosso alcance, como fugas de bases de dados da empresa. Por isso, é aconselhável verificar periodicamente se um e-mail foi vítima de uma vulnerabilidade para terceiros, bem como tentar rastrear as contas que possam ter sido comprometidas. Para isso, existem ferramentas de acesso público, como o site ‘Have I Been Pwned’, que tentam reunir informações básicas sobre estas fugas para oferecer apoio e ajuda aos utilizadores. Da mesma forma, mesmo que não tenham sido violadas, é sempre recomendável atualizar as palavras-passe de poucos em poucos meses.
“Todos os dias, os cibercriminosos criam novos ataques destinados a roubar as palavras-passe dos utilizadores. Técnicas como o phishing conseguiram violar milhares de serviços através do roubo de credenciais, especialmente aqui em Portugal, onde, em média, as organizações foram atacadas 1.065 vezes por semana no primeiro trimestre do ano”, partilha Rui Duro, Country Manager Portugal. “Este risco pode ser facilmente remediado através do estabelecimento de palavras-passe seguras, tornando muito mais difícil para os cibercriminosos adivinharem estas combinações, garantindo o mais alto nível de segurança para os nossos dispositivos”.
