Cadeado aberto sobre teclas de teclado de computador espalhadas em uma mesa
Unsplash/flyd2069

Já é quase impossível navegar pela internet e usar serviços digitais sem ter ao menos uma senha vazada em algum ataque cibernético – por isso a autenticação de duas etapas, ou 2FA, é tão importante. Mas uma coisa é saber que algumas de suas senhas estão por aí, e outra completamente diferente é descobrir que bilhões delas estão reunidas em um único lugar, prontas para serem roubadas.

É exatamente isso o que um novo relatório indica. Pesquisadores do Cybernews encontraram um arquivo de texto chamado “rockyou2024.txt” contendo cerca de 10 bilhões de senhas únicas, todas armazenadas em texto puro. Isso significa que qualquer pessoa com acesso poderia vasculhar a lista como se fosse um PDF e descobrir todas as senhas.

Esse arquivo não surgiu do dia para a noite. Essas senhas foram coletadas ao longo do tempo, de vários ataques e vazamentos ocorridos nos últimos 20 anos. Somente de 2021 para cá, 1,5 bilhão de novas senhas foram adicionadas à lista. O fato de todas serem únicas, sem repetições, torna o volume ainda mais impressionante. É difícil imaginar a quantidade de credenciais expostas.

Quais os perigos desse vazamento?

Saber que alguém mal-intencionado poderia usar a função “Buscar” para encontrar qualquer senha nessa lista é preocupante, mas o verdadeiro perigo não está aí. Levaria muito tempo para criminosos vasculharem a lista procurando senhas específicas.

Na verdade, o que torna esse vazamento perigoso é a possibilidade de ataques de força bruta e de credential stuffing. No ataque de força bruta, o criminoso usa um script ou programa para tentar repetidamente uma grande quantidade de senhas em um “dicionário” de senhas populares e palavras comuns para invadir uma conta. Já o credential stuffing é similar, mas utiliza bancos de credenciais vazadas, como combinações conhecidas de nome de usuário e senha, para tentar entrar em outras contas, já que as pessoas costumam reutilizar senhas em diferentes serviços.

Claro, esses ataques não são feitos manualmente. Criminosos usam computadores capazes de tentar milhões de senhas dessas listas para invadir contas. Com um banco de dados de 10 bilhões de senhas únicas, hackers terão um prato cheio para realizar ataques de força bruta e credential stuffing contra indivíduos e organizações.

Como se proteger?

Esperamos que as empresas invistam em reforçar suas defesas contra esse tipo de ataque, mas como indivíduos, também há muitas coisas que podemos fazer para nos proteger.

Primeiramente, você pode utilizar serviços de verificação de vazamento de senhas para descobrir se suas credenciais estão nessa lista, ou em qualquer outra. Caso encontre alguma senha comprometida, altere-a imediatamente. O mais popular deles é o Have I Been Pwned, que permite comparar seus endereços de e-mail usados como login com bancos de dados de senhas vazadas e lista quais sites foram comprometidos e quando, dando a chance de mudar sua senha naquele serviço para uma combinação nova.

Veja também: Google Password Checkup, uma ferramenta para descobrir se suas senhas vazaram

Falando em alteração de senha, certifique-se de usar senhas fortes e únicas para cada uma de suas contas. Dessa forma, se a senha de uma conta específica vazar, os criminosos não conseguirão invadir suas outras contas, pois elas não usam a mesma senha vulnerável.

Se um serviço oferece autenticação com passkeys, opte por esse método, já que essas chaves não possuem credenciais que possam ser vazadas. Caso contrário, sempre que possível, habilite a autenticação de dois fatores (2FA). Mesmo que os criminosos descubram sua senha, eles não conseguirão entrar na sua conta sem ter acesso ao seu dispositivo confiável, seja um smartphone ou um aplicativo autenticador.

Veja também: O que são Passkeys? Tudo o que você precisa saber

Para gerenciar todas essas credenciais, use um gerenciador de senhas. Um bom gerenciador não só o ajudará a organizar suas senhas únicas para cada login, como também oferecerá recursos de segurança úteis, como armazenamento de códigos 2FA e alertas para vazamentos de senha.

Adotar essas medidas pode não eliminar completamente o risco, mas certamente aumentará suas defesas contra ataques cibernéticos em um mundo onde vazamentos de senhas parecem ser inevitáveis.