Dia mundial da password: Estamos preparados para abandonar as palavras-passe?

É já amanhã que se assinala o Dia Mundial da Password, uma data concebida para relembrar a importância deste instrumento crítico de segurança na proteção das nossas vidas digitais, sobretudo, numa altura em que as táticas usadas pelos cibercriminosos continuam a tornar-se cada vez mais sofisticadas.

Todos os anos, os avisos dos especialistas de cibersegurança repetem-se, no entanto, o uso de passwords fracas continua a fazer parte dos hábitos de muitos utilizadores, juntando-se a outros comportamentos que colocam a sua segurança em risco.

Clique nas imagens para ver os piores exemplos de passwords

Apesar da sua importância, as palavras-passe também enfrentam desafios. À medida que as tecnologias continuam a evoluir, e que os cibercriminosos ganham novas ferramentas, até mesmo as palavras-passe consideradas fortes e seguras ficam em risco.

A mais recente edição do relatório da Hive Systems mostra quanto tempo é que os atacantes demoram a decifrar passwords através de ataques de força-bruta. Desde 2020 que os investigadores têm recriado as táticas usadas por cibercriminosos, num sistema que usa placas gráficas de última geração.

Na edição desde ano, os especialistas da Hive Systems usaram um sistema com GPUs que estão atualmente disponíveis no mercado, neste caso, 12 placas gráficas RTX 5090 da Nvidia. Como é possível ver na tabela partilhada pela empresa, as passwords mais simples, sem números ou caracteres especiais, são decifradas instantaneamente.

De modo geral, quantos mais caracteres tem uma password, maior será o tempo que demora para a decifrar. Mas esse não é o único factor importante. Por exemplo, uma password com 18 caracteres, combinando letras maiúsculas e minúsculas, números e símbolos, necessitaria de vários milhões de anos para ser decifrada.

Por outro lado, a Hive Systems alerta que se já teve as suas passwords roubadas em ciberataques, se usa palavras nas palavras-passe, ou se as reutiliza entre contas online, o cenário é bem diferente, como pode ver na imagem que se segue.

Como lembram os investigadores da Check Point Software, o mercado negro de credenciais roubadas é vasto e extremamente lucrativo. Ao todo, estima-se que mais de 24,6 mil milhões de combinações de nomes de utilizador e palavras-passe circulem atualmente por mercados cibercriminosos.

Segundo a empresa, esta escala é difícil de verificar, porque os dados roubados são frequentemente revendidos. Ao serem vendidas em bloco, estas credenciais tornam-se ainda mais baratas.

Entre os acessos mais valiosos incluem-se contas bancárias, de email, serviços cloud, carteiras de criptomoedas, VPNs corporativas e redes sociais, que são também alvos comuns de campanhas de phishing, assim como de roubo de identidade, malware ou ataques de Business Email Compromise (BEC), avançam os especialistas.

Maus hábitos nas novas gerações

Um novo relatório da Bitwarden, publicado em antecipação ao dia Mundial da Password, mostra que os maus hábitos em relação às palavras-passe são comuns a diferentes gerações. No entanto, as mais novas destacam-se pela negativa. 

O relatório, que inquiriu 2.300 pessoas nos EUA, Reino Unido, Austrália, França, Alemanha e Japão, mostra que a Geração Z é a que mais reutiliza passwords, com 72% dos inquiridos nesta faixa etária a admitirem a prática. Por comparação, 42% das pessoas na geração Baby Boomer admitem fazer o mesmo.

Curiosamente, 79% dos inquiridos da Geração Z reconhecem que a reutilização de passwords é arriscada. 59% das pessoas nesta faixa etária admitem também reutilizar palavras-passe mesmo quando estão a atualizar as credenciais de uma conta de uma empresa que anteriormente foi alvo de um ciberataque com fuga de dados.

Embora sejam consideradas as gerações mais digitais, 72% dos inquiridos da Geração Z e os Millennial estimam que têm menos de 25 palavras-passe únicas. 38% da pessoas da Geração Z e 31% dos Millennials apenas mudam as suas passwords apenas quando recebem alertas de que está na hora de o fazer.

O relatório mostra também que 80% dos inquiridos destas gerações têm uma probabilidade maior de ativarem a autenticação multifator (MFA) quando não é algo requerido pelas plataformas. Os especialistas da Bitwarden sugerem que as gerações mais novas estão a tentar compensar os maus hábitos em relação às passwords, usando este tipo de autenticação como uma espécie de “rede de segurança”.

Embora a autenticação multifator se afirme como uma camada importante de proteção, não deve ser um substituto para passwords únicas e fortes, realça a Bitwarden. Se as passwords são fracas ou já foi comprometidas anteriormente, as contas continuam vulneráveis, especialmente quando a autenticação multifator está ativada via SMS, que é suscetível, por exemplo, a ataques que SIM Swapping.

A caminho de um futuro sem passwords

Em linha com os especialistas da Bitwarden, os investigadores da Sophos realçam que, apesar da ampla adoção de soluções de autenticação dupla ou multifator (2FA/MFA), estas camadas adicionais de proteção também dependem de códigos secretos partilhados através de SMS ou apps, que, em muitos casos, continuam a ser vulneráveis.

Atualmente, os cibercriminosos têm à sua disposição ferramentas que permitem contornar estas proteções, automatizando esquemas de phishing ou roubando cookies de sessão.

Através das soluções de autenticação passwordless, os utilizadores já não precisam de introduzir uma palavra-passe ou um código secreto partilhado por SMS ou via uma app própria, aponta a Sophos.

Recorde-se que  o mundo da tecnologia tem vindo a reunir esforços para desenvolver soluções de autenticação que sejam mais seguras e convenientes do que as passwords tradicionais. Em 2022, a Google, Apple e Microsoft anunciaram que iam passar a disponibilizar suporte ao padrão de autenticação FIDO sem palavra-passe.

Neste sistema, equipamentos como smartphones passam a armazenar uma credencial FIDO, ou passkey, que é usada para desbloquear as contas. Ao iniciar sessão num website ou aplicação, basta, por exemplo, desbloquear o smartphone, através de um pin, de impressão digital, ou reconhecimento facial.

Veja como funcionam as passkeys

Atualmente, vários serviços online já dispõem de algum tipo de suporte a este padrão de autenticação sem palavra-passe, entre Amazon, Adobe, Discord, eBay, LinkedIn, Netflix, como mostra o diretório da FIDO Alliance.

Citado em comunicado, Rui Duro, Country Manager da Check Point Software em Portugal, afirma que se continua a assistir a "um volume preocupante de incidentes relacionados com o uso indevido de credenciais". "A dependência de palavras-passe representa hoje uma vulnerabilidade estrutural, e não apenas um risco individual", realça.

"É urgente que empresas e instituições portuguesas comecem a adotar mecanismos de autenticação mais seguros e modernos, como Passkeys ou sistemas biométricos. O futuro da cibersegurança não passa por reforçar palavras-passe, passa por superá-las”, afirma Rui Duro.

“Temos as ferramentas, o conhecimento e as soluções para dar este passo. O que falta é a coragem coletiva para abandonar hábitos ultrapassados e proteger verdadeiramente a identidade digital dos cidadãos e das organizações”, sublinha o responsável.

Como escolher uma password segura?

Tendo em conta que nem todos os serviços online suportam alternativas de autenticação sem password, é fundamental que mantenha a segurança, optando por palavras-passe adequadas. Recorde-se que as passwords seguras são apenas um dos muitos passos que não deve descurar para fazer face às ameaças do mundo online.

Para o ajudar, aproveitamos para "refrescar a memória", recordando recomendações importantes, deixadas por especialistas da área de cibersegurança, que partilhámos anteriormente.

Clique nas imagens para ver com mais detalhe

• Escolha passwords fortes, longas e variadas

As palavras-passe curtas e compostas por sequências simples e números e letras conseguem ser mais facilmente decifradas por hackers. É recomendável que opte, sempre que possível, por passwords com mais de 12 caracteres. Deve combinar números, letras maiúsculas e minúsculas, assim como caracteres especiais. Usar dados pessoais, datas especiais, nomes de membros da família ou até dos animais de estimação não é recomendável.

Há ferramentas online, incluindo gestores de passwords, que o podem ajudar a gerar palavras-passe fortes, longas e variadas. Se desejar pode também experimentar criar passwords a partir de frases completas, usando maiúsculas e minúsculas, trocando letras, por números e por caracteres especiais.

• Não repita nem “recicle” passwords nas contas online

Cada conta online deve ter uma palavra-passe única. Caso contrário, se as credenciais de uma conta caírem nas mãos de cibercriminosos, as restantes estarão em risco. Não deverá “reciclar” passwords que já utilizou anteriormente, sobretudo se já tiverem sido comprometidas em algum tipo de ciberataque.

Os especialistas recomendam também que mude as palavras-passe das suas contas a cada três meses. Se quer verificar se alguma das suas passwords já foi comprometida em ataques informáticos, pode recorrer, por exemplo, à plataforma HaveIBeenPwned.

• Mantenha a privacidade das passwords

Não deve partilhar as suas passwords com outras pessoas. O mesmo se aplica a deixar palavras passe escritas, por exemplo, em notas Post-It perto do computador ou até em ficheiros, sobretudo se estiverem mesmo à vista de todos no ambiente de trabalho do PC.

Se tem dificuldade em manter-se a par de todas as palavras-passe que usa nas contas, o melhor será mesmo optar por um gestor de passwords. Existem várias opções disponíveis na Internet, entre gestores gratuitos e pagos. Neste artigo pode encontrar oito propostas.

• Ative a autenticação de dois fatores nas contas

A autenticação de dois fatores afirma-se como uma camada extra de segurança nas contas, permitindo obter uma confirmação de que foi mesmo o utilizador que inseriu as credenciais no respetivo serviço. Hoje, várias plataformas digitais e redes sociais dispõem desta funcionalidade e é recomendável que a ative, recorrendo ao email ou SMS para confirmar a autenticação, ou aplicações como a Authy, Google Authenticator ou Microsoft Authenticator.