O recente "leak" de milhões de passwords do LinkedInm last.fm, e outros serviços vem novamente relembrar a necessidade de se criar uma política de segurança fiável.
Com cada vez maior número de sites e serviços a depender de uma password, esta vai-se tornando cada vez mais atractiva para os atacantes em busca de dados "privados" sobre os utilizadores. Ganho que é um autêntico "jackpot" quando um utilizador utiliza a mesma password para diversos serviços.
Nem será preciso relembrar o risco que é utilizarem uma única password, que eventualmente utilizarão num qualquer site que vos pareça "engraçado" e sobre o qual não fazem a mínima ideia de que métodos utilizará para a manter em segurança (um teste simples será pedir a recuperação da mesma, e se esta vos for enviada em "texto" num email... será o pior sinal possível.)
O recomendável será utilizarem passwords diferentes para todo e cada site/serviço. Algo que pode facilmente ser feito usando programas específicos, como o LastPass ou 1Password; ou, no caso de não quererem depender de programas extra, arranjando uma "fórmula" que vos seja fácil de relembrar: por exemplo, adicionando o nome do site ou serviço a uma password genérica vossa.
Por exemplo, se usam a vossa data de aniversário como password (não recomendo que o façam), e pretendem criar uma password para o Google, ficaria algo como: 1999.01.01.Google; enquanto que para o Sapo ficaria: 1999.01.01.Sapo.
Claro que mesmo assim seria simples demais, pelo que o melhor seria utilizarem igualmente símbolos que complicassem a tarefa, por exemplo "#&%!", e maior variedade em letras maisculas e minusculas, resultando em algo como: "silva#JOAQUIM%1999.01.01$Google".
No entanto, embora este sistema seja preferível face à utilização de uma única password, poderia igualmente ficar em risco caso algum dos sites guardasse a vossa password em texto simples - ou formato recuperável - que assim revelasse a vossa "fórmula" a um hacker... que assim facilmente poderia ir trocando o nome do serviço para entrar nos outros sites... Pelo que, voltamos ao velho dilema de usar passwords completamente aleatórias e diferentes para todos os sites, que poderá ser feito usando os tais serviços de gestão de passwords... mas tendo igualmente consciência de que deverão escolher uma boa password para esse próprio serviço - caso contrário... correm o risco de estar a entregar "de bandeja" todas as passwords supostamente seguras.
Não esquecer igualmente que há casos mais graves e críticos que é preciso ter em consideração especial: por exemplo, se alguém vos capturar a password da vossa conta de email, é bem provável que consiga efectuar a "recuperação de password" em todos os serviços que estiverem registados com esse email. Pelo que o email se torna num dos serviços mais críticos e onde deverão usar uma password "especial" e que não utilizem em qualquer outro site (e se possível, activar modos de maior segurança, como o 2 step validation do Google).
Dito isto, aqui fica uma lista das 25 passwords e PINS mais comuns, e que por isso mesmo deverão estar completamente proibidas de ser utilizadas onde quer que seja. :)
- password
- 123456
- 12345678
- 1234
- qwerty
- 12345
- dragon
- pussy
- baseball
- football
- letmein
- monkey
- 696969
- abc123
- mustang
- michael
- shadow
- master
- jennifer
- 111111
- 2000
- jordan
- superman
- harley
- 1234567
Códigos PIN mais comuns:
- 1234
- 0000
- 2580
- 1111
- 5555
- 5683
- 0852
- 2222
- 1212
- 1998
- 6969
- 1379
- 1997
- 2468
- 9999
- 7777
- 1996
- 2011
- 3333
- 1999
- 8888
- 1995
- 2525
- 1590
- 1235
Por isso se deve usar o serviço de sms para login na conta gmail, caso seja a principal.
ResponderEliminarCarlos, podias fazer um post disto ao pessoal que ainda não sabe ;)
Já falei do 2 step validation:
Eliminarhttp://abertoatedemadrugada.com/2011/02/duplicar-seguranca-do-google-com-o-2.html
Mas, sim devia ter referido isso no post, vou editar.
Ei desculpa, não tinha visto :S
Eliminar