Novo estudo aponta que senhas continuam tão ruins quanto as de 2015

Pelo sexto ano consecutivo, a empresa de segurança digital SplashData examinou os dados de milhões de senhas para identificar as combinações mais comuns usadas em todo o mundo. A compilação de 2016 foi feita com base em mais de cinco milhões de emails vazados de usuários principalmente da América do Norte e da Europa Ocidental.

A SplashData estima que cerca de 10% das pessoas usem pelo menos uma das 25 senhas que estão na lista deste ano – 3% a mais em relação ao levantamento de 2014. Além disso, 4% da população digital utiliza aquela que é considerada a pior senha de todas: “123456”. Para completar, muitos optam por variações da palavra “password” (senha, em português). Ambas estão no topo do ranking de piores senhas, a exemplo do que já aconteceu em 2014 e 2015.

LEIA MAIS: Hackers descobrem novas falhas de segurança no iOS 10, da Apple

No quesito padrões numéricos, as combinações “12345”, “12345678”, “1234567890”, “1234567” e “1234” já estavam no top 25 da lista do ano passado e repetiram a performance. A novidade este ano foi o “121212”. No que diz respeito às variações da palavra “password”, surgiu, por exemplo, “password1”. Palavras óbvias, como “qwerty”, “login” e “welcome” continuaram a fazer parte do ranking, com destaque para “admin”, que estreou na lista. Algumas das senhas preferidas dos usuários – e também consideradas ruins – são “football”, “princess”, “solo”, “abc123”, “dragon” e “master”.

Entre as novidades estão “hottie”, “loveme”, “sunshine” e “flower”. Além dessas, a combinação “zaq1zaq1” é muito usada, pois trata-se de uma sequência de teclas na coluna esquerda. Essas novas senhas substituíram algumas famosas da lista de 2015, como “123456789”, “baseball”, “111111”, “1qaz2wsx”, “monkey”, “letmein”, “qwertyuiop” e “starwars”.

LEIA TAMBÉM: 7 maneiras como a Internet das Coisas vai revolucionar o mercado

Os dados analisados levaram à conclusão de que muitas pessoas acreditam que colocar o número “0” no lugar da letra “o” é capaz de tornar as senhas mais seguras, mas o CEO da SplashData, Morgan Slain, afirma que isso não é verdade. “Fazer pequenas modificações em uma senha fácil não a torna segura, e os hackers vão tirar vantagem dessas tendências”, disse. “Nossa esperança é que com as pesquisas e a divulgação dessa lista todos os anos, as pessoas percebam o risco de usar senhas comuns e passem a tomar atitudes para melhorar suas combinações.”

Não está claro se as pessoas estão usando essas variações em uma tentativa equivocada de tornar a senha mais segura ou porque estão sendo forçadas a fazer isso. Um estudo de 2015 de pesquisadores da Universidade Concordia, no Canadá, mostrou que as próprias ferramentas encarregadas de medir a força das senhas em sites populares e os gerenciadores de senhas são altamente inconsistentes e podem até piorar a qualidade do código escolhido pelo usuário, já que levam em conta o número de caracteres, a variedade e, às vezes, palavras comuns ou fracas. Além disso, esses dispositivos não conseguiam identificar algumas palavras transformadas, como aquelas em que o “0” é trocado pelo “o”.

E TAMBÉM: Carro da Tesla Motors é freado por hackers a 20 km de distância

“Em nossa análise empírica de larga escala, fica evidente que os medidores usados falham na tentativa de promover um feedback coerente e, às vezes, promovem resultados que são descaradamente enganosos”, conclui o estudo.
A melhor opção é, portanto, também a mais conhecida: criar senhas complexas com frases e uma para cada conta. Reutilizar senhas em muitos sites deixa todas as suas contas vulneráveis. Para facilitar a organização, uma sugestão é guardar todos os seus códigos em um gerenciador de senhas.

Para quem pretende ignorar as práticas recomendadas, uma maneira de garantir um pouco mais de segurança é configurar a autenticação de dois fatores, pelo menos nas contas de e-mail. Esse processo é uma maneira de manter o usuário protegido de alguém que tente redefinir sua senha. Ele adiciona um nível extra de segurança ao solicitar uma segunda verificação – além do seu nome de usuário e senha – para provar sua identidade. Pode ser um código numérico enviado por mensagem de texto ou um código gerado em um aplicativo como o Google Authenticator ou o Yubikey, um dispositivo que pode ser usado para proteger senhas em alguns sites ou contas. (O Gmail também permite que os usuários imprimam códigos únicos, caso a pessoa perca ou desligue o telefone.) Se alguém tentar redefinir a senha e o usuário tiver habilitado essa ferramenta, será muito mais difícil acessar os dados. Além disso, ter a autenticação de dois fatores na conta de e-mail pode impedir que outras pessoas redefinam as senhas.