Adivinha qual foi a pior senha de 2016?
Ela mesma, a combinação “123456”. Pelo menos é o que aponta um relatório da Keeper Security (PDF). Não é nenhuma novidade, pois todo ano estudos do tipo apontam essa senha como a mais comum. O que surpreende no levantamento da Keeper é a proporção de usuários que a utilizam: 17%. Não é à toa que ela é a campeã.
Esses dados provavelmente não são precisos, todavia. Para gerar a lista das 25 piores senhas de 2016, a Keeper analisou 10 milhões de senhas de bases de dados vazadas durante o ano. Como não está claro como esses dados foram obtidos, de onde eles vieram e quais os critérios de análise, fica difícil dar estimativas condizentes com a realidade.
Mesmo assim, os resultados não devem ser desprezados. 10 milhões de senhas não é um número insignificante. Além disso, auditorias feitas por várias empresas de segurança apontam que numerosos casos de invasões continuam sendo possíveis por causa do uso de senhas fracas, entre elas, “123456”. A lista completa da Keeper é a seguinte, pela ordem das combinações mais encontradas:
- 123456
- 123456789
- qwerty
- 12345678
- 111111
- 1234567890
- 1234567
- password
- 123123
- 987654321
- qwertyuiop
- mynoob
- 123321
- 666666
- 18atcskd2w
- 7777777
- 1q2w3e4r
- 654321
- 555555
- 3rjs1la7qe
- 1q2w3e4r5t
- 123qwe
- zxcvbnm
- 1q2w3e
A maioria é bem manjada, né? Mas há algumas que parecem ser seguras. Só parecem. É o caso de “zxcvbnm”, que simplesmente corresponde às primeiras teclas da última linha de letras do teclado, ou de “1q2w3e4r5t”, uma alternância entre as teclas numéricas e a primeira linha de letras do teclado.
Mas há algumas combinações aleatórias aqui que, na primeira olhada, atendem a critérios de segurança. É o caso de “18atcskd2w”. Essa senha já foi identificada antes e aparece na 15ª posição no ranking da Keeper. Ou seja, ela é bem usada. Como isso é possível?
Especialistas em segurança digital, incluindo os da Keeper, afirmam que combinações como “18atcskd2w” e “3rjs1la7qe” foram feitas por algoritmos e estão sendo usadas à exaustão por bots que criam contas falsas para, por exemplo, disseminar spam.
Essa constatação indica dois problemas. O primeiro é que muitas empresas ainda falham em implementar critérios que impedem a criação de senhas fracas pelos usuários. Há serviços que até avisam que uma combinação não é segura, mas não impedem a sua utilização.
Como criar e, principalmente, decorar senhas é uma atividade maçante para a grande maioria das pessoas, o uso de critérios mais rígidos tende a surtir mais efeito do que as tentativas de “educar” os usuários.
O outro problema, mais difícil de ser resolvido, é que muitos serviços não estão conseguindo barrar a criação de contas falsas por bots. A identificação de combinações muito usadas, porém, pode ajudar a combater esse tipo de atividade.
Com o uso crescente de biometria e sistemas de segurança baseados em inteligência artificial, talvez um dia as senhas deixem de ser a principal barreira de segurança da maioria dos serviços.
Enquanto isso não acontece, o jeito é mesmo usar combinações fortes e, quando possível, recorrer à autenticação em dois passos. Para quem não quer decorar uma enormidade de combinações ou não tem paciência para criá-las, talvez a melhor alternativa seja o uso de um gerenciador de senhas.
Só não dá para vacilar com o assunto. Infelizmente, as senhas são um mal necessário e isso não deve mudar tão cedo.