2020/07/02

123456 continua a ser a password mais popular


Apesar de todos os avisos, a password 123456 continua a ser frequentemente utilizada e a dominar o top das passwords mais comuns - que, por isso mesmo, faz com que nunca a devam utilizar.

Uma análise feita a mais de 168 milhões de passwords que estão disponíveis em listas na internet revela alguns detalhes curiosos. Para começar, significa que há 168 milhões de passwords que são inseguras e que ninguém deverá utilizar - algo que é facilitado por serviços como o Have I Been Pwned, que alerta os utilizadores no caso das suas contas surgirem nestas listas, e que o sistema de gestão de passwords de browsers como o Chrome e Firefox também já começaram a fazer.

Embora o comprimento médio das passwords seja de 9.48 caracteres, a verdade é que a password mais comum continua a ser a "123456". Algo que, espero que seja feito de forma propositada, por pessoas que se sejam forçadas a registarem-se em serviços que considerem "sem grande interesse", como por exemplo, fóruns onde seja necessário registo para se poder ler ou fazer o download de algo.

Dito isto, a análise a estas passwords revelou que:
  • 28.79% das passwords são apenas com letras
  • 26.16% das passwords são apenas com letras minúsculas
  • 13.37% das passwords são apenas com números
  • 34.41% das passwords terminam com números mas apenas 4.52% começam com números
  • Apenas 12.04% das passwords contêm caracteres especiais

Temos ainda que as 1000 passwords mais populares representam 6.6% das passwords; e que se tentarmos o top 1 milhão das passwords mais populares se fica com 36% de probabilidades de conseguir entrar numa conta - valor que aumenta para os 54% se tentarmos os 10 milhões de passwords mais populares. E por fim, que apenas 8.83% de todas estas passwords são passwords únicas, mas curiosamente poucas são passwords "sem sentido", o que revela que não estarão a ser geradas por gestores de passwords.

Se não estiverem dispostos a usar um gestor de passwords, uma das formas mais simples será utilizarem uma "frase chave" em vez de "palavra chave", constituída por uma sequência de palavras em que adicionem alguns caracteres especiais pelo meio. Mas, acima de tudo, será ainda mais importante recorrer a um sistema de autenticação 2-factor, para que, independentemente de tudo, a password por si só não permita que um atacante se apodere das nossas contas.

1 comentário:

  1. o pessoal anda a ver muitas vezes a serie casa de papel, aquela cena do diz a palavra passe e ele responde 1234 ainda hoje me parte o coco a rir

    ResponderEliminar