A empresa de segurança brasileira Axur lançou o portal MinhaSenha.com para que internautas possam descobrir (e, de preferência, nunca mais usar) suas senhas que foram expostas em vazamentos de dados.
O serviço é grátis e exige apenas que o internauta digite o endereço de e-mail. As senhas enviadas são aquelas que estiverem associadas ao e-mail informado. Por segurança (por exemplo, se outra pessoa conseguiu acesso ao seu e-mail e tentou utilizar o serviço para descobrir suas senhas), o final das senhas é ocultado.
A Axur, criadora do serviço, se especializa em monitoramento de riscos digitais. A companhia monitora rotineiramente diversas plataformas, desde mídias sociais à "deep" ou "dark" web -- o submundo da rede -- para prestar os serviços que oferece aos seus clientes. São nesses mesmos ambientes que muitos dos vazamentos ocorrem. Ou seja, todas as senhas cadastradas pela Axur no MinhaSenha já estão nas mãos de hackers e foram publicadas na rede.
O MinhaSenha consulta vazamentos de mais de 300 sites (85 deles brasileiros) e 1,5 milhão de páginas e publicações que incluíam senhas. Segundo a Axur, 5% de todos esses dados vazados envolvem contas online de brasileiros.
Como o banco de dados do serviço inclui parte das senhas de muitas pessoas, a Axur garantiu que utiliza a mesma infraestrutura dos serviços críticos da empresa para abrigar o site. Além disso, nem mesmo o banco de dados do MinhaSenha inclui as senhas completas -- ela está no mesmo formato enviado por e-mail aos usuários, com a parte final da senha faltando.
Por que revelar a senha?
O MinhaSenha.com se diferencia do principal serviço de notificações de vazamento da web, o "Have I Been Pwned?" (HIBP), porque revela a senha vazada em si e não a fonte dos dados. Fábio Ramos, CEO da Axur, apresentou três razões para isso: a possibilidade de a senha ter sido esquecida pelo internauta, o efeito educativo de ver a senha exposta e a dificuldade em determinar a origem da senha em alguns dos vazamentos.
"Pouca gente lembra qual senha usava dois ou três anos atrás, quando aconteceu a maioria dos grandes vazamentos, mas, sabendo a senha, o usuário pode tomar a ação de alterá-la em todos os sistemas, apps e serviços digitais onde a mesma credencial é usada", afirmou Ramos, numa entrevista ao blog Segurança Digital.
Segundo Ramos, a empresa identifica vazamentos diários de fonte é incerta -- mesmo quando são atribuídos a alguma empresa, não é possível determinar se a informação é verdadeira. "Diariamente identificamos pequenos vazamentos (de 10 a 15 senhas) em posts da Deep Web. A origem nem sempre é confirmada e poderíamos colocar em risco a reputação de algumas empresas", explicou.
Alguns desses vazamentos, já observados pela coluna Segurança Digital, têm senhas que foram roubadas em ataques de phishing ou por vírus de compuador. Nesses casos, as senhas, embora pertençam a usuários de um determinado site, não estão expostas por um ataque contra o site, mas sim contra os próprios internautas.
Ramos disse que é possível usar o MinhaSenha como complemento ao HIBP, já que o HIBP vai apontar os vazamentos em que a senha está em "hash". Esses vazamentos não constam no banco de dados do MinhaSenha.
Enquanto o MinhaSenha.com exibe as senhas vazadas, Have I Been Pwned? exibe a fonte dos dados em que o e-mail foi encontrado. (Foto: Reprodução) |
Muitos vazamentos de dados incluem a senha em formato criptografado ou em representação numérica irreversível ("hashing"). Quando a criptografia é fraca ou a fórmula de hashing é muito antiga, pode ser possível quebrar essa proteção, o que enfim revela a senha cadastrada pelo usuário.
Fórmulas usadas em proteção de senhas são mais fortes quando são mais lentas. Fórmulas antigas foram pensadas para computadores de sua época, e, portanto, são inadequadas por serem rápidas demais em computadores modernos.
Um exemplo é LinkedIn, que utilizava a fórmula de hashing MD5, de 1992. Essa fórmula é considerada extremamente frágil. Embora irreversível, o MD5 é tão antigo que os computadores modernos o calculam em uma velocidade impressionante, permitindo testar todas as combinações de letras e números até encontrar um valor idêntico ao que está no vazamento. Esses valores também já existem em tabelas pré-calculadas.
Alguns vazamentos, porém, incluem senhas protegidas com métodos adequados de criptografia. Nesse caso, a senha fica inacessível e o MinhaSenha não terá acesso a ela. É aí que outros serviços, como o "Have I Been Pwned?", levam vantagem. Como eles mostram apenas a fonte de dados e não a senha, eles ainda poderão informar você sobre esse vazamento -- mas você vai ter que saber qual era a sua senha no serviço para trocá-la em todos os demais locais em que ela foi usada.
Como a criptografia é sempre uma questão de tempo, é possível que senhas hoje seguras não permaneçam assim no futuro. Por isso, é ideal saber que uma senha pode ser exposta no futuro, ainda que hoje ela permaneça segura -- daí a utilidade de se conhecer um vazamento, mesmo que ele não tenha exposto sua senha ainda.
Fonte G1 Tecnologia