Em um dos maiores estudos de reutilização de senhas desse tipo, uma análise de mais de um bilhão de credenciais vazadas descobriu que uma em cada 142 senhas é a combinação clássica "123456".

O estudo, realizado no mês de junho pelo estudante de engenharia da computação Ata Hakç?l, analisou combinações de nome de usuário e senha que vazaram online após violações de dados em várias empresas.

Esses "despejos de dados" existem há mais de meia década e vêm se acumulando à medida que novas empresas são hackeadas.

Os despejos de dados estão facilmente disponíveis online, em sites como GitHub ou GitLab, ou distribuídos gratuitamente por meio de fóruns de hackers e portais de compartilhamento de arquivos.

Ao longo dos anos, as empresas de tecnologia coletaram esses depósitos de dados. Por exemplo, Google, Microsoft e Apple coletaram credenciais vazadas para criar sistemas de alerta internos que avisam os usuários quando estão utilizando uma senha "fraca" ou "comum".

Além disso, o serviço online Have I Been Pwned também funciona com esses despejos de dados e credenciais que vazaram.

 

Resultados do estudo

Em junho deste ano, Hakç?l, um estudante turco que estuda em uma universidade no Chipre, baixou e analisou mais de um bilhão de credenciais vazadas.

A principal descoberta foi que o conjunto de dados de mais de 1.000.000.000 de credenciais incluía apenas 168.919.919 senhas exclusivas, das quais mais de 7 milhões eram a combinação "123456".

Isso significa que uma em cada 142 senhas incluídas na amostra que Hakç?l analisou foi a senha mais fraca conhecida hoje - com a combinação "123456" sendo a senha mais comumente reutilizada online nos últimos cinco anos consecutivos, e continua crescendo.

Além disso, Hakç?l também descobriu que o comprimento médio da senha é geralmente de 9,48 caracteres, o que não é bom, mas também não é terrível, já que a maioria dos especialistas em segurança recomenda usar senhas tão longas quanto possível, e geralmente na faixa de 16 a 24 caracteres ou mais.

Mas o comprimento da senha não foi o único problema que Hakçil descobriu. O pesquisador turco disse que a complexidade das senhas também é um problema, com apenas 12% das senhas contendo um caractere especial.

Na maioria dos casos, os usuários escolhem senhas simplistas, como usar apenas letras (29%) ou números (13%). Isso significava que cerca de 42% de todas as senhas incluídas no conjunto de dados de 1 bilhão eram vulneráveis ??a ataques de dicionário rápidos que permitiriam aos agentes da ameaça obter acesso às contas sem nenhum esforço ou dificuldade técnica.

Os resultados completos do estudo estão disponíveis no GitHub, com um breve resumo abaixo:

• De 1.000.000.000+ de linhas de despejos, 257.669.588 foram filtrados como dados corrompidos (jargão em formato impróprio) ou contas de teste.
• 1 bilhão de credenciais se resumem a 168.919.919 senhas e 393.386.953 nomes de usuário.
• A senha mais comum é 123456. Ela cobre aproximadamente 0,722% de todas as senhas. (Cerca de 7 milhões de vezes por bilhão)
• As 1000 senhas mais comuns cobrem 6,607% de todas as senhas.
• Com a maioria das senhas comuns de 1 milhão, a taxa de acerto é de 36,28%, e com a taxa de acerto de 10 milhões de senhas mais comuns é de 54,00%.
• O comprimento médio da senha é 9,4822 caracteres.
• 12,04% das senhas contêm caracteres especiais.
• 28,79% das senhas são apenas letras.
• 26,16% das senhas são apenas minúsculas.
• 13,37% das senhas são apenas números.
• 34,41% de todas as senhas terminam com dígitos, mas apenas 4,522% de todas as senhas começam com dígitos.