Notícias

“123456” foi a password mais famosa em 2014

34 Comentários

As passwords continuam a fazer parte dos tradicionais sistemas de autenticação de utilizadores e máquinas.

Por norma, uma password forte garante uma melhor segurança mas, a verdade, é que os utilizadores continuam a usar passwords óbvias, como por exemplo, números (ex.123456), nomes dos filhos, cão, gato, data de nascimento, etc.

Passado mais um ano, a SplashData divulgou o TOP 25 das passwords mais populares de 2014.

password-cracking


Apesar dos alertas e da onda de ataques, os utilizadores continuam a usar como “chave de acesso” passwords básicas. É verdade que não existe nenhum “guideline” (apenas dicas) que nos ensine a criar passwords, no entanto, todos nós sabemos que uma password complexa e com alguns caracteres é normalmente mais forte que uma password simples, com poucos caracteres.

E as passwords mais populares em 2014 foram:
Rank Password Mudança face a 2013
1 123456 Mantém
2 password Mantém
3 12345 Sobe 17 posições
4 12345678 Desceu 1
5 qwerty Desceu 1
6 123456789 Mantém
7 1234 Subiu 9
8 baseball Nova
9 dragon Nova
10 football Nova
11 1234567 Desceu 4
12 monkey Subiu 5
13 letmein Subiu 1
14 abc123 Desceu 9
15 1111 Desceu 8
16 mustang Mantém
17 access Nova
18 shadow Sem mudança
19 master Nova
20 michael Nova
21 superman Nova
22 696969 Nova
23 123123 Desceu 12
24 batman Nova
25 trustno1 Desceu 11

Dicas da SplashData para definir uma password:

  • Utilização de passwords com 8 ou mais caracteres, com a mistura de caracteres especiais. Mas tenham atenção às substituições mais óbvias e facilmente detectáveis.
  • É aconselhado a utilização de frases em vez de passwords. Para além de mais compridas introduzem uma complexidade maior. Mas evitem frases conhecidas e com sentido. Usem espaços ou outros caracteres para separar as palavras.
  • Evitem usar o mesmo username e password para vários sites O ideal é usar no mínimo passwords diferentes e com associação ao próprio serviço.
  • Em situações em que existe dificuldade em memorizar as palavra passe é aconselhada a utilização de um gestor de passwords.

Via SplashData

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
2014 comuns passwords Segurança

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
“Ouvir” com a língua poderá ajudar pessoas surdas
Artigo anterior

“Ouvir” com a língua poderá ajudar pessoas surdas
Apenas 40% das empresas aplicam patches de segurança
Próximo artigo

Apenas 40% das empresas aplicam patches de segurança
PUB

Comentários

34

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de paulosoousa
    paulosoousa

    gostaria de saber como é que essa empresa tem acesso a esses dados.. da que pensar

    Responder
    1. Avatar de JJ
      JJ

      Estava a pensar no mesmo…
      Como é que eles sabem qual é as passwords mais utilizadas?

      Responder
      1. Avatar de Tiago
        Tiago

        E mais! Normalmente as passwords não são armazenadas nas BD em plaintext mas sim um hash das mesmas. Dá que pensar mesmo…

        Responder
        1. Avatar de Jose Simoes
          Jose Simoes

          Um hash salvado – pelo menos deveria ser, mas não estou certo que seja assim sempre.

          Responder
          1. Avatar de Jose Simoes
            Jose Simoes

            SALGADO hups

    2. Avatar de Benchmark do iPhone 6
      Benchmark do iPhone 6

      Todos os anos são “hackadas” e publicadas listas de milhares e milhares de passwords. Que eu saiba, é daí que saem as listas das passwords mais usadas.

      Olha aqui uma lista de 13.000, mas de certeza que não foi a única:

      https://pplware.sitedev.pt/informacao/seguranca/ultima-hora-hackers-publicam-13000-passwords-no-ghostbin/

      Responder
      1. Avatar de Benchmark do iPhone 6
        Benchmark do iPhone 6

        Mais 5 milhões, em 2014
        https://pplware.sitedev.pt/informacao/alerta-5-milhoes-de-contas-gmail-comprometidas/

        e não ficou por aqui 🙁

        Responder
    3. Avatar de Alex
      Alex

      Caros,

      Talvez deva escrever um artigo sobre isso. Mas se tivessem lido todos os artigos da pplware, talvez consigam perceber, aliado a mais alguns conhecimentos de base de dados e de utilização de dados.
      Não sou nenhum guru nem nenhum especialista, e posso dizer que os meus conhecimentos informáticos são de longe profuntos.
      O que escrevo é apenas baseados nos meus poucos conhecimentos e da minha intuição e experiência.

      1. Um dos algoritmos mais utilizados é MD5. E é isto que é guardado nas BD.

      2. Uma das finalidades das aplicações estarem em base de dados é poder analisarem as informações. Logo é possível analisar a tabela onde está guardada as palavras passes. Mesmo estando encriptadas, podemos fazer agrupamentos e verificar qual é o texto que mais vezes aparece.

      3. Existe base de dados online que nos devolvam a palavra-passe equivalente ao texto referido anteriormente. (reverse engineering)

      4. Perguntam, onde vem essa BD? Simples. Já ouviram falar da força bruta. Em vez de testarem por força bruta uma palavra-passe, é possível criar uma aplicação que gera as palavras passes, converte-la com MD5 num texto, e guarda-las numa BD.

      5. Quem diz MD5, pode dizer outros algoritmos. A regra de 20/80 também se aplica. Com os 20% de algoritmos mais utilizados, podemos cobrir 80%, ou até mais.

      Trabalho em IT, mas considero-me um leigo nesta área, agora quem é profissional deve haver muitas ferramentes e conhecimentos para obter aquela informação.

      Nota final: Não é preciso nenhuma teoria de conspiração. O que é feito pelo homem, pode ser desfeito pelo homem.

      Responder
      1. Avatar de Jose Simoes
        Jose Simoes

        O que refere é mo essencial ataque por “tabelas (pré-calculadas) de arco-íris” (rainbow tables).

        A defesa é muito simples e bem conhecida à muito tempo. Basta adicionar uma cadeia de caracteres aleatórios a cada password antes de calculara o hash correspondente (no caso refere o MD5). É o que se chama salgar a password.

        Esse procedimento expande ENORMEMENTE o espaço das passwords e torna o ataque muito difícil, se não impossível.

        Note-se que a probabilidade de um dado utilizador ser vítima desse tipo de assaltos, mesmo com passwords não salgados é muito baixa – o ataque apenas funciona atacando simultaneamente muitas contas, sendo baixa a probabilidade de alguma determinada ser atacada com sucesso, é elevada a probabilidade de pelo menos uma o ser, se não for usado o sal.

        Não há nenhuma razão na actualidade para que as passwords não serem salgadas, a não ser, eventualmente, a falta de formação dos responsáveis.

        De qualquer maneira usado passwords de mais de 20 caracteres aleatórios, não tenho conhecimento de nenhum ataque possível, mesmo que teórico e mesmo que o password não seja salgado.

        Ressalvando, claro, o factor humano. Acerca disso estou de acordo que pouco se pode fazer.

        Responder
  2. Avatar de Rui
    Rui

    E já agora qual o melhor “gestor de passwords” que conhecem para os diversos SO?

    Responder
    1. Avatar de lastpass
      lastpass

      #LastPassForLife

      Responder
    2. Avatar de ammile
      ammile

      Testei vários e uso o KeePass há bastante tempo.

      Responder
      1. Avatar de ed
        ed

        +1

        Responder
      2. Avatar de Mota
        Mota

        +2

        Keeppass.

        Mantens a tua Base de dados no teu PC, foram do alcance de qqlr empresa/cloud, e tens apps para:
        Android
        Windows
        Linux

        No que toca à apple desconheço.

        Responder
      3. Avatar de Patrick Pereira
        Patrick Pereira

        melhor é o steganos password manager. Na minha opinião não há melhor

        Responder
    3. Avatar de panhonhas
      panhonhas

      Um caderno, uma caneta de quatro cores, uma lapiseira e borracha.
      Com a vermelha, escrevo o nome dos serviços, com a preta, sublinho o nome do serviço para ficar mais destacado, com a azul, a informação de login, e com a lapizeira, a password.

      Responder
      1. Avatar de Tiago Santos
        Tiago Santos

        e quando perdes o papelinho? ups

        Responder
        1. Avatar de panhonhas
          panhonhas

          Nem pensar confiar nesses gestores de password.
          É impossível perder caderno lol, ainda mais se estiver por exemplo dentro de um cofre, e como sou solteiro, e no futuro espero viver sozinho, não há problemas, está tudo organizado.

          Responder
    4. Avatar de Jose Simoes
      Jose Simoes

      keepass(X)

      Mas estou a passar para a fase “parte do password” noutro sítio.

      Há por aí malware que instala key-logger e copia base de dados do KeePass e outros similares.

      Responder
    5. Avatar de Fil
      Fil

      pah… ainda uso uma pen com 256mb de capacidade, mesmo antiguinha que tenho escondida lá para casa e sempre que atualizo uma pass atualizo o notepad com a mesma. É esse o meu “gestor de password”. hehe

      Responder
  3. Avatar de Miguel Neto
    Miguel Neto

    As pessoas reclamam que são vítimas de hacking mas depois saem estes graphicos wut demonstram que a maior parte tem passwords de merda. Impressionante, não mudem não que isto ainda vai piorar.

    Responder
    1. Avatar de JJ
      JJ

      A questão é que esta lista, não significa propriamente essa situação.

      – Diversos sistemas, vem de fabrica com algumas das indicadas no TOP
      – Sites sem grande importância, normalmente levam a uso de passwords básicas
      – A maioria das contas “demo” usam esse tipo de passwords

      Responder
  4. Avatar de JJ
    JJ

    Acho que a culpa é que agora se pede password para tudo e mais alguma coisa.

    Para coisas básicas, sem importância, passwords básicas…

    Logicamente, a minha password do email ou do PayPal, não estará nesse top…

    Responder
  5. Avatar de Fernando Jorge
    Fernando Jorge

    (para conhecedores…) 😀

    “Ken Sent Me”

    Responder
    1. Avatar de Tiago
      Tiago

      Reference not found exception.

      Responder
  6. Avatar de Charles Longway
    Charles Longway

    Já em tempos tinha visto um artigo que dizia que Beatles era a password mais usada no mundo. Não sei como conseguem essa informação, mas na altura não deixava de ter algum interesse na medida em que revelava a persistência de muitos fãs dos fab4. Agora 123456 não tem sequer sumo como notícia. Enfim…

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      Não é como noticia…é como password 🙂

      Responder
      1. Avatar de Charles Longway
        Charles Longway

        De facto nem como notícia nem como password. No entanto constato que suscitou imensos comentários. Irónico, não?

        Tinha mais piada se a password fosse Beatles123456… :p

        Responder
  7. Avatar de Rui Cruz
    Rui Cruz

    Admira-me não pertencer a este top a “incorrect”

    Responder
  8. Avatar de rmcrys
    rmcrys

    Por sorte não conheço ninguém tão estúpido

    Responder
  9. Avatar de JX
    JX

    Password Encryption = Plain Text

    Responder
  10. Avatar de Joana
    Joana

    É bom saber que não faço parte desta lista.

    Responder
  11. Avatar de Paulo Pires
    Paulo Pires

    O vídeo está espetacular.

    Responder
  12. Avatar de Jose Simoes
    Jose Simoes

    Estou chocado que “iloveyou” tenha desaparecido.

    Já não há amor neste mundo

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.