Os Tipo de Ataques Contra Senhas e Como Previní-los

Inicialmente, estar on-line, se comunicar com outros usuários e navegar na web era mais uma atividade de passatempo. Gradualmente, no entanto, tornou-se uma parte crucial de nossas vidas cotidianas, e agora usamos a Internet para executar algumas tarefas muito importantes. Com o passar do tempo, as pessoas começaram a pensar em segurança e foram forçadas a usar cada vez mais senhas. Quanto maior o número de senhas, maior o número de pessoas que querem colocar as mãos nelas e, podemos acrescentar, quanto maior o número de maneiras de comprometer uma senha.

De fato, existem inúmeros meios de quebrar ou roubar uma senha, e é provável que os cibercriminosos continuem a tentar aperfeiçoa-los. Por mais lamentável que pareça, em alguns casos, não há nada que você possa fazer para impedir que um hacker comprometa sua conta.

Ataques Direcionados aos Sites

Quando você cria uma conta em, digamos, facebook.com, envia sua senha às pessoas de Mark Zuckerberg, e elas devem ser armazenadas de alguma forma para que, da próxima vez que você visite a maior rede social do mundo, você possa fazer login. Há alguns prós e contras quando se trata de armazenar senhas. Alguns sites tendem a seguir as melhores práticas, enquanto outros não. Consequentemente, às vezes, os bandidos saem de mãos vazias e às vezes escapam com algumas senhas. Aqui está como eles fazem isso.

Roubo de Senhas em Texto sem Formatação

Alguns provedores de serviços apenas pegam sua senha e a colocam, juntamente com seu nome de usuário, em um banco de dados. Então, eles não fazem muito para garantir que o banco de dados esteja protegido corretamente. Tudo o que os hackers precisam fazer é encontrá-lo e baixá-lo. Felizmente, cada vez menos sites armazenam senhas de forma simples hoje em dia e, embora ainda vemos de vez em quando, esse tipo de ataque não é tão comum. O próximo é, no entanto.

Ataques Contra Hashes de Senha

Antes de colocar uma senha em um banco de dados, o provedor de serviços deve fazer o hash. Hashing é uma função criptográfica que transforma uma senha em uma longa sequência de caracteres alfanuméricos. Em teoria, é um processo não reversível, o que significa que uma vez feito o hash, a senha não pode ser retornada à sua forma simples. Na realidade, as coisas são um pouco diferentes.

Existem muitos algoritmos de hash diferentes. Alguns são triviais para quebrar, e outros não. Algoritmos mais antigos e fracos são vulneráveis aos chamados ataques de tabelas arco-íris, que envolvem um grande número de hashes pré-computados que os cibercriminosos tentam até conseguirem a senha. Mesmo que o algoritmo de hash seja forte em teoria, sua implementação é importante para que os dados permaneçam seguros.

A Solução

Para desenvolvedores de sites e administradores de sistemas, combater ataques a senhas armazenadas significa usar um algoritmo robusto e empregar um salt criptográfico exclusivo para cada usuário. Dessa forma, mesmo que dois usuários usem as mesmas senhas, os hashes serão diferentes e os hackers não terão como invadir as contas. Naturalmente, proteger o banco de dados que contém os hashes é igualmente importante.

Quando hackers atacam sites, os usuários não podem fazer nada. Tudo o que você pode fazer é manter os dedos cruzados e esperar que os fornecedores tomem as precauções necessárias para manter sua senha segura. Quando o ataque é direcionado a você, no entanto, serão suas defesas que serão postas à prova.

Ataques Contra Senha Direcionados ao Usuário

Existem várias maneiras de roubar uma senha de um usuário. Aqui estão apenas alguns deles.

Malwares com keylogging

Os keyloggers estão entre os tipos mais antigos de programas maliciosos. Ao longo dos anos, eles evoluíram, e além de gravar as teclas digitadas, alguns deles agora também podem capturar imagens do computador da vítima e ver quais páginas elas visitam. Isso facilita a coleta da senha e a conexão com a conta correta.

Ladrões de senhas

Muitas pessoas usam seus navegadores para gerenciar senhas, porque é muito mais fácil do que lembrá-las e inseri-las sempre que desejam fazer login em suas contas. O problema é que os navegadores não são muito bons em armazenar credenciais de login com segurança, e agora existem programas que podem descriptografar e roubar silenciosamente as senhas de alguns dos navegadores mais populares.

Phishing e engenharia social

Os ataques de phishing tendem a ser bastante eficazes porque exploram o link mais fraco - o usuário. Táticas inteligentes de engenharia social criam um senso de urgência, o que significa que a vítima geralmente tem pressa demais para perceber que está dando suas credenciais de login ao site errado.

Ao mesmo tempo, lançar um ataque de phishing exige quase nenhum investimento, tanto em termos de dinheiro quanto de tempo. O resultado final é que, às vezes, os criminosos não precisam necessariamente empregar técnicas avançadas de hackers para comprometer sua senha. Eles só precisam induzi-lo a doar você mesmo.

Protegendo a sua senha contra os cibercriminosos

As precauções contra ataques de coleta de senhas devem ser bastante óbvias, mas o número colossal de vítimas mostra que muitos usuários estão subestimando o problema ou não o conhecem. Ativar as atualizações automáticas de todos os programas de computador que você usa é a coisa mais simples que você pode fazer para garantir que possui todos os patches e correções de segurança. A execução de um programa anti-malware respeitável também minimiza as chances de ser atropelado por trojans e keyloggers que roubam senhas. Enquanto isso, tratar todos os e-mails, links e arquivos com suspeita pode impedir ataques de phishing, e o gerenciamento adequado de senhas garantirá que, caso uma de suas contas seja comprometida, o restante permanecerá seguro.