Ela mesma, a combinação “123456”. Pelo menos é o que aponta um relatório da Keeper Security (PDF). Não é nenhuma novidade, pois todo ano estudos do tipo apontam essa senha como a mais comum. O que surpreende no levantamento da Keeper é a proporção de usuários que a utilizam: 17%. Não é à toa que ela é a campeã.

Esses dados provavelmente não são precisos, todavia. Para gerar a lista das 25 piores senhas de 2016, a Keeper analisou 10 milhões de senhas de bases de dados vazadas durante o ano. Como não está claro como esses dados foram obtidos, de onde eles vieram e quais os critérios de análise, fica difícil dar estimativas condizentes com a realidade.

Mesmo assim, os resultados não devem ser desprezados. 10 milhões de senhas não é um número insignificante. Além disso, auditorias feitas por várias empresas de segurança apontam que numerosos casos de invasões continuam sendo possíveis por causa do uso de senhas fracas, entre elas, “123456”. A lista completa da Keeper é a seguinte, pela ordem das combinações mais encontradas:

  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321
  11. qwertyuiop
  12. mynoob
  13. 123321
  14. 666666
  15. 18atcskd2w
  16. 7777777
  17. 1q2w3e4r
  18. 654321
  19. 555555
  20. 3rjs1la7qe
  21. google
  22. 1q2w3e4r5t
  23. 123qwe
  24. zxcvbnm
  25. 1q2w3e

A maioria é bem manjada, né? Mas há algumas que parecem ser seguras. Só parecem. É o caso de “zxcvbnm”, que simplesmente corresponde às primeiras teclas da última linha de letras do teclado, ou de “1q2w3e4r5t”, uma alternância entre as teclas numéricas e a primeira linha de letras do teclado.

18atcskd2w

Mas há algumas combinações aleatórias aqui que, na primeira olhada, atendem a critérios de segurança. É o caso de “18atcskd2w”. Essa senha já foi identificada antes e aparece na 15ª posição no ranking da Keeper. Ou seja, ela é bem usada. Como isso é possível?

Especialistas em segurança digital, incluindo os da Keeper, afirmam que combinações como “18atcskd2w” e “3rjs1la7qe” foram feitas por algoritmos e estão sendo usadas à exaustão por bots que criam contas falsas para, por exemplo, disseminar spam.

Essa constatação indica dois problemas. O primeiro é que muitas empresas ainda falham em implementar critérios que impedem a criação de senhas fracas pelos usuários. Há serviços que até avisam que uma combinação não é segura, mas não impedem a sua utilização.

Como criar e, principalmente, decorar senhas é uma atividade maçante para a grande maioria das pessoas, o uso de critérios mais rígidos tende a surtir mais efeito do que as tentativas de “educar” os usuários.

Senhas - teclado

O outro problema, mais difícil de ser resolvido, é que muitos serviços não estão conseguindo barrar a criação de contas falsas por bots. A identificação de combinações muito usadas, porém, pode ajudar a combater esse tipo de atividade.

Com o uso crescente de biometria e sistemas de segurança baseados em inteligência artificial, talvez um dia as senhas deixem de ser a principal barreira de segurança da maioria dos serviços.

Enquanto isso não acontece, o jeito é mesmo usar combinações fortes e, quando possível, recorrer à autenticação em dois passos. Para quem não quer decorar uma enormidade de combinações ou não tem paciência para criá-las, talvez a melhor alternativa seja o uso de um gerenciador de senhas.

Só não dá para vacilar com o assunto. Infelizmente, as senhas são um mal necessário e isso não deve mudar tão cedo.

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.