Maioria das palavras-passe sinalizadas como inseguras continuam a ser utilizadas após avisos
As conclusões são de um estudo do Google e baseiam-se numa amostra de 21 milhões de credenciais de acesso, usadas por 670 utilizadores do Chrome.
De entre todas as palavras-passe sinalizadas como inseguras pelo navegador Google Chrome, apenas 26% são alteradas. Em grande parte dos casos, as combinações continuam a ser usadas, principalmente para aceder a sites de compras (que podem ter informação bancária ou a morada dos utilizadores), sites de notícias e sites de entretenimento. O risco é maior em sites de streaming de vídeo e sites para adultos, que são aqueles onde os utilizadores mais ignoram os avisos.
A informação surge numa análise recente da empresa, em parceria com a Universidade de Stanford, nos EUA. Baseia-se numa amostra de 21 milhões de credenciais de acesso, usados por 670 utilizadores (que concordaram participar no estudo) da extensão Verificação de Palavra-Passe instalada no Chrome. Esta ferramenta foi lançada no começo do ano para alertar pessoas que usam o navegador Chrome para credenciais que foram roubadas e estão disponíveis em listas a que possíveis atacantes podem ter acesso: depois de um mês a funcionar, já tinha alertado para 316 mil palavras-passe inseguras.
A equipa do Google diz que o problema em utilizar este tipo de palavras-passe é que são peças-chave em ataques onde os criminosos experimentam usar todas as credenciais que fazem parte daquelas listas para roubar o acesso a contas de outrem (em inglês, o fenómeno é conhecido por stuffing attack). Com base na amostra do estudo (os 21 milhões de palavras-passe analisadas), os investigadores prevêem que cerca de 1,5% das credenciais vulneráveis a este tipo de ataque estejam a ser utilizadas.
“Os utilizadores parecem interiorizar conselhos sobre segurança de palavras-passe em sites financeiros ou site governamentais, onde apenas 0,2% a 0,3% das credenciais usadas eram inseguras”, escrevem os autores do estudo. “Em contraste, sites de entretenimento como plataformas de streaming de vídeo e sites para adultos tinham a maior percentagem de alertas sobre credenciais roubadas [3,6%-6,3% de credenciais inseguras detectadas]”.
Uma possível explicação é que sites de bancos e de organizações governamentais têm politicas de criação de palavras-passe mais rígidas (por exemplo, podem pedir chaves de acesso maiores, que misturam números e caracteres especiais). Outra hipótese sugerida no estudo é que alguns destes sites procuram, activamente, falhas de segurança e obrigam os utilizadores a alterar as palavras-passe.
“Em sites de streaming de vídeo os utilizadores podem optar por palavras-passe ‘descartáveis’, e ignorar os nossos alertas, porque acham que os riscos e consequências [de um ataque] são baixas, ou porque têm contas partilhadas com outras pessoas”, sugerem os autores do estudo. Quanto mais popular é um site, mais cuidado os utilizadores têm. Os sites em que os utilizadores mais ignoram os alertas (38,5%), porém, são sites de pornografia – uma possibilidade é que os utilizadores querem que o Google deixe de enviar alertas sobre aquele domínio. Os sites em que os utilizadores menos ignoram os alertas são no acesso a contas de email.
A ferramenta de Verificação de Palavra-Passe do Google foi criada numa altura em que crescem os registos de ciberataques à escala global que expõem dados pessoais de utilizadores de todo o mundo. Em 2018, por exemplo, os computadores e servidores das autoridades municipais de Atlanta, nos EUA, foram vítimas de um ataque que paralisou os tribunais durante dia e impediu os habitantes de pagar os impostos e outros serviços. No total, a base de dados usada pelo Google incluem quatro mil milhões de credenciais consideradas inseguras devidos a falhas de segurança de terceiros.
Além da extensão do Google, outra forma de os utilizadores descobrirem se as suas credenciais fazem parte de listas de palavras-passe roubadas é o Have I Been Pwned, que compila combinações de acesso obtidas em fugas de informação.
A equipa de Stanford e do Google diz que o maior objectivo com o estudo é mostrar como um acesso “democratizado a alertas de roubo de palavras-passe pode ajudar a diminuir os casos de contas roubadas" através de métodos básicos. “No contexto deste estudo, 26% dos nossos alertas levaram a que as pessoas mudassem as credenciais usadas – destas, 94% eram mais fortes do que as antigas”, frisam os autores na conclusão do trabalho.
Artigo corrigido: Uma versão anterior do artigo dizia que a maioria dos utilizadores com palavras-passe inseguras não as alterava. São a maioria das palavras-passe detectadas como inseguras que continuam a ser utilizadas.