Ata Hakçıl, um estudante turco e pesquisador independente, fez um ótimo trabalho examinando mais de um bilhão de nomes de usuários e senhas diferentes. O pesquisador descobriu que cada 142 senha é “123456”.
Ele coletou um grande despejo para análise de fontes abertas: todos esses dados já foram “vazados” para a rede após vários incidentes de segurança da informação.
Esses despejos vêm se acumulando na rede há mais de uma dúzia de anos, e seu número só cresce à medida que novas empresas entram. Encontrá-los não é nada difícil – essas coleções de credenciais estão disponíveis no GitHub e GitLab, são distribuídos gratuitamente em fóruns de hackers, através de aplicativos de compartilhamento de arquivos e assim por diante.
Vale ressaltar também que há muito tempo grandes empresas coletam esses lixões para alertar seus usuários sobre o perigo. Por exemplo, Google, Microsoft e Apple usam logins e senhas vazadas para criar seus próprios sistemas de alerta que informam as pessoas quando elas usam uma senha fraca ou já comprometida.
“Em uma enorme coleção ele conseguiu encontrar 168,919,919 senhas exclusivas e, como acabou, mais do que 7,000,000 deles é a senha “123456”(cada cento e quarenta segundos de senha),” – escreve Hakçil.
Os especialistas há muito alertam que o 123456 sequência é a senha mais usada no mundo e lidera com ampla margem há pelo menos cinco anos. Lembre-se também que de acordo com pesquisadores da Carnegie Mellon University, os usuários raramente alteram as senhas, mesmo após vazamentos de dados.
O pesquisador também estimou que o comprimento médio da senha é 9.48 personagens, embora os especialistas em segurança da informação geralmente recomendem o uso de senhas mais longas (de 16 para 24 personagens). A complexidade da senha também foi um problema, já que apenas 12% do número total de senhas contém pelo menos um caractere especial.
Pior, na grande maioria dos casos, os usuários escolhem as senhas mais simples: use apenas letras (29%) ou apenas números (13%). Na verdade, isso significa que aproximadamente 42% de todas as senhas são vulneráveis a ataques comuns de dicionário e força bruta.
Outras descobertas interessantes do relatório Hakçıl:
- fora de 1,000,000,000+ linhas estudadas, 257,669,588 foram filtrados como danificados;
- Na verdade, um bilhão de credenciais continham apenas 168,919,919 senhas exclusivas e 393,386,953 nomes de usuário;
- a senha mais comum é “123456”, ocorre em aproximadamente 0.722% de casos;
- O 1000 DE senhas mais comuns é aproximadamente 6.607% de todas as senhas aprendidas;
- O comprimento médio da senha é 9.4822 personagens;
- apenas 12.04% das senhas contêm caracteres especiais;
- 8.79% das senhas contêm apenas letras;
- 26.16% das senhas contêm apenas caracteres minúsculos;
- 13.37% das senhas contêm apenas números;
- 34.41% de todas as senhas terminam com números, se apenas 4.522% das senhas começam com números.