2017/05/07

Mil milhões de contas e passwords reveladas na net


O site Have I Been Pwned tem-se dedicado a manter um registo das contas cujos dados vão ficando publicamente disponíveis na net, e a alertar os respectivos utilizadores; e agora adiciona mais mil milhões de novas contas vulneráveis.

O roubo de dados a empresas e serviços tem sido uma constante, e entre esses dados encontram-se invariavelmente os dados dos utilizadores registados, com os seus emails e passwords. As passwords costumam estar protegidas (ou assim se espera) mas uma vez que muitos serviços não levam a segurança tão a sério quanto deviam, aliado ao facto de muitos utilizadores usarem passwords fáceis de adivinhar, permite que em muitos casos as mesmas possam ser decifradas com relativa facilidade. E agora, há um novo lote de mil milhões de registos adicionados ao Have I Been Pwned.

É uma quantidade assustadora de dados e que afectará grande número dos utilizadores que utiliza a internet, mas infelizmente desta vez a origem dos dados é tão diversificada que o serviço não indica qual a sua origem: poderá ser simplesmente um fórum que utilizaram uma única vez há uma década atrás e no qual se inscreveram com uma password "descartável"... mas poderá ser também o de um serviço que usam regularmente e que poderá levantar problemas mais complicados.

Mais complicado ainda será para os casos em que se tratam de utilizadores que têm por hábito reutilizar a mesma password para múltiplos serviços, fazendo com que a descoberta da password num serviço possa por em risco a segurança das suas contas em muitos outros.

Por isso mesmo, se se inscrevem neste Have I Been Pwned e receberem um email de que uma das vossas contas poderá estar comprometida, será o momento ideal para começarem a utilizar passwords sempre diferentes para todos os serviços (eventualmente recorrendo a um gestor de passwords) - e a activarem a autenticação 2-factor para os serviços que o suportarem.

2 comentários:

  1. A minha conta diz que esta pwned alterar todas as passwords é o suficiente ?

    ResponderEliminar
    Respostas
    1. Por vezes essa indicação pode aparecer apenas com o hash da password, e no caso de ser um hash seguro e uma password decente, será praticamente impossível conseguirem "cracká-la". Dito isto, pelo menos nos serviços principais (emails, etc.) é conveniente trocar de password regularmente e usar passwords seguras (e não as reutilizar noutros serviços).

      Eliminar