Como os Sites Armazenam as Minhas Senhas?

websites store passwords
Sempre que você cria uma conta online, todas as informações inseridas são enviadas para armazenamento em um banco de dados hospedado em um servidor. Pense em uma tabela na qual que as linhas representam contas individuais e todas as colunas diferentes designam o tipo de dados (por exemplo, nome, endereço de email, senha etc.). Em termos simples, é assim que todos os serviços armazenam os seus dados.

Quando os hackers quebram a segurança do servidor e roubam o banco de dados, você tem uma violação de dados. O que acontece a seguir depende do que é colocado nas células que armazenam as senhas.Poucas pessoas percebem isso, mas a questão de como os operadores e vendedores de sites armazenam as senhas dos usuários é muito importante. Se forem armazenados corretamente, uma violação de dados resultará em alguns e-mails de spam que, apesar de incômodos, não devem representar uma ameaça muito grande. Se as senhas não estiverem adequadamente protegidas, no entanto, um vazamento poderá resultar no comprometimento de uma conta e em muitas consequências potencialmente mais desastrosas. Vamos dar uma olhada nos diferentes métodos de armazenamento das senhas e separar o joio do trigo.

Texto Simple: Não fica pior do que isso

Você insere a sua senha no campo e uma cópia de caractere por caractere dela é colada no banco de dados. Alguns anos atrás, isso não era um problema tão grande porque roubar um banco de dados era algo que poucas pessoas podiam fazer. Agora, porém, com adolescentes invadindo servidores supostamente seguros, isso coloca em risco os dados dos usuários. Se os hackers puserem as mãos nas senhas em texto simples, não há nada que os impeça de fazer login nas contas das pessoas e causar todo tipo de dano. Eles também podem usar as combinações de nome de usuário e senhas e organizar ataques de preenchimento de credenciais durante os quais experimentam as mesmas credenciais em diferentes sites. Como muitas pessoas tendem a reutilizar senhas, esses ataques são preocupantes na maioria dos casos.

Em teoria, os proprietários de sites devem estar cientes dos riscos até agora, e é seguro dizer que os grandes serviços on-line há muito tempo abandonaram o armazenamento de senhas em texto puro. No entanto, muitos sites, especialmente os pequenos e menos populares, continuam a armazenar as senhas das pessoas em um formato claro e legível. É por isso que fazemos um grande esforço para avisá-lo para não reutilizar as suas senhas e ter muito cuidado com a quem você confia os seus dados.

Codificação: Isso soa mais seguro do que é

Você ouve a palavra "criptografia" e acha que isso parece muito avançado e seguro. Bom, quando se trata de sites que armazenam as suas senhas, isso não é estritamente o caso. O processo de criptografia transformará a sua senha de texto simples em uma cadeia de caracteres inelegíveis e, se você colocar essa sequência no campo de senha do site, não poderá efetuar o login.

O problema é que essa cadeia de caracteres pode ser transformada na senha de texto sem formatação com uma chave especial. As empresas que criptografam as senhas dos usuários geralmente armazenam as credenciais de login e as chaves de criptografia no mesmo servidor, o que significa que, quando os hackers os invadem, eles podem aproveitar os dados de login criptografados e as chaves que os ajudam a descriptografá-los. E mesmo que as chaves sejam armazenadas em um servidor diferente, se os criminosos conseguirem invadir um dos ativos on-line da empresa, provavelmente conseguirão invadir outro.

Neste ponto, devemos salientar que a forma como os sites criptografam as senhas é diferente da forma como o  Gerenciador de Senhas do Cyclonis faz isso. Embora você ainda tenha a opção de armazenar o seu cofre criptografado na nuvem, as chaves de criptografia não chegam nem perto dele. Tanto a criptografia quanto a descriptografia acontecem no seu dispositivo, e mesmo que os hackers roubem o seu cofre criptografado, eles não poderão ver o que há dentro dele.

Hashing: Não é bem o que queremos, mas estamos chegando lá

Novamente, a senha de texto simples é transformada em uma sequência de caracteres de aparência aleatória antes de ser colocada no banco de dados e, novamente, a cadeia não funciona se você tentar efetuar o login. Desta vez, no entanto, o processo, pelo menos, não é reversível. Em outras palavras, não há nenhuma chave que possa transformar a senha com hash em texto simples. Quando você digita a sua senha no formulário de login, ela é automaticamente dividida e a saída é comparada com o que está armazenado no banco de dados. Se houver uma correspondência, você faz o login com sucesso. É assim que a autenticação funciona. Então, onde está o problema?

O problema é que existem muitos algoritmos de hashing e, à medida e que o tempo passa, alguns estão se tornando menos seguros do que outros. Há um tempo atrás, por exemplo, um algoritmo chamado MD5 foi considerado adequado, mas em 2005, os especialistas encontraram uma maneira prática de quebrá-lo. Em 2013, quando os hackers conseguiram roubar 3 bilhões de credenciais de login do Yahoo !, o provedor de e-mail ainda estava usando o MD5 para as senhas de usuários de hash. Incidentes como esses mostram que, em alguns casos, até mesmo as grandes empresas não usam algoritmos hash seguros para proteger as senhas dos usuários, mas essa não é a única preocupação.

Mesmo que o algoritmo seja seguro o suficiente, a mesma senha produzirá o mesmo hash. Os hackers têm listas de milhões de senhas comuns, cujos hashes pré-computados são colocados nas chamadas tabelas arco-íris. Quando eles vêem que um hash combina, eles podem conectá-lo à senha de texto sem formatação. É por isso que os especialistas em segurança não deixarão de pedir,  em breve, que você use senhas fortes, exclusivas e completamente aleatórias.

Hashing and Salting: O melhor método de armazenamento de senhas que temos (se implementado corretamente)

As tabelas arco-íris existem porque muitas pessoas usam as mesmas senhas. Os especialistas e os fornecedores podem fazer pouco sobre isso, mas podem pelo menos garantir que as mesmas senhas não produzam o mesmo hash. Funciona assim.

Um gerador pseudo-aleatório cria uma string única de letras e números chamada sal. Essa string é anexada ao início ou ao final da senha antes dela ser hash. Dessa forma, duas senhas idênticas produzem hashes completamente diferentes e as tabelas arco-íris não funcionam.

Existem algumas ressalvas. Se os hackers roubam os salts, as tabelas arco-íris podem ser modificadas e os ataques podem ser possíveis. Usando um salt estático (um salt para todas as senhas) também apresenta um risco. Os Salts curtos podem ser forçados, e o armazenamento dos salts também é importante. Esses ataques em potencial são bastante difíceis de realizar, mas são teoricamente possíveis.

Em outras palavras, como em tudo relacionado à segurança online, não há panacéia. No entanto, existem boas e más práticas de armazenamento de senhas, o que suscita a seguinte questão.

Como eu sei se um site está armazenando a minha senha corretamente?

Em resumo, você não pode, pelo menos na maioria das vezes. Quando você está se inscrevendo para uma conta, os provedores de serviços online não especificam a maneira como as suas senhas serão armazenadas. Mesmo depois de serem hackeados, alguns deles não esclarecem o que foi roubado e quais poderiam ser as conseqüências. Na verdade, muitas das notificações de violação de dados parecem estar saindo do clichê.

Em alguns casos, no entanto, você pode ter certeza de que a sua senha não está armazenada corretamente. Aqui estão alguns exemplos:

  • Você está se inscrevendo em um site que impõe um limite máximo de quanto tempo a sua senha pode valer. O comprimento da sua senha não afeta o tamanho do valor de hash que ela produz. É claro que, se uma senha tiver 100 caracteres de comprimento, o hash levará muito tempo e sobrecarregará o sistema, portanto, um limite deve ser imposto. Se você parar em 20 caracteres ou menos, no entanto, o banco de dados está configurado para não armazenar longas cadeias de texto, o que, com toda a probabilidade, significa que a sua senha será salva de forma simples.
  • Você se inscreve em um serviço e recebe um e-mail dizendo algo como:
    "Sua conta foi criada com sucesso.
    Seu nome de usuário é: [seu nome de usuário em texto simples]
    Sua senha é: [sua senha em texto simples]"
    Se a sua senha for armazenada em formato com hash (e salted), nem os funcionários do fornecedor nem o sistema que envia o email automatizado poderão ver (e, portanto, enviar) a sua senha de texto sem formatação.
  • Você está contatando a equipe de suporte do provedor de serviços e o agente solicita as suas credenciais de login para ter certeza de que realmente é você. Um serviço online respeitável deve ter melhores mecanismos de autenticação. Mesmo se você desconsiderar os riscos associados quando os funcionários podem ver a sua senha, você não deve desconsiderar o fato de que, se os dados estiverem visíveis para os usuários internos, também será visível para os intrusos.
  • Um website solicita que você verifique a sua conta inserindo uma parte da sua senha (por exemplo, os três últimos caracteres). Hashing uma parte de uma senha não produzirá uma parte do hash inteiro. Isso produzirá um hash completamente diferente. Se você encontrar esse cenário, pode ter certeza de que o site está armazenando as suas senhas em formato criptografado ou de texto sem formatação.

Armazenar com segurança as senhas dos usuários é uma responsabilidade e um desafio, e a triste verdade é que você nunca pode realmente saber se o provedor de serviços para o qual você está se inscrevendo está certo. O que você pode fazer é garantir que as suas senhas sejam razoavelmente longas, complexas e exclusivas.

Por Duran
November 19, 2018
Password Security
Portuguese
November 19, 2018
Password Security

Postagens Populares

Microsoft alerta que atores de ameaças apoiados pelo Estado...

4 days atrás

Detecção de Malware Trojan Al11

11 months atrás

Pinaview é um aplicativo de adware completo

10 months atrás

Pop-ups "Seu iCloud está sendo invadido" e "Seu iPhone foi...

7 months atrás

O que é Lucky Ransomware?

7 months atrás

Golpe de e-mail 'American Express - Atualize as informações da...

6 months atrás
Portuguese
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.