A SplashData (empresa fornecedora de software de gestão de passwords) publicou, pelo quinto ano consecutivo, a lista de piores passwords de 2015, concluindo novamente que há muita gente que se continua a colocar em risco de hacking e roubo de identidade devido à utilização de password fracas e/ou fáceis de adivinhar.
Nas primeiras duas posições de passwords mais utilizadas, continuam, desde 2011, “123456” e “password”, demonstrando que a escolha de passwords se mantém consistentemente insegura. Nas quatro posições seguintes mantêm-se desde o ano passado, embora trocando a ordem, “12345678”, “qwerty”, “12345” e “123456789”.
Esta lista, compilada a partir de mais de 2 milhões de passwords divulgadas durante 2015 e com origem na América do Norte e Europa Ocidental, mostra a utilização de passwords novas e maiores, mas não necessariamente mais seguras – “1234567890”, “1qaz2wsx” e “qwertyuiop” entraram directamente para o 12º, 16º e 22º lugar, respectivamente -. Como não podia deixar de ser, após o regresso da saga Star Wars, as passwords “starwars” e “solo” entraram também na lista, embora para uns modestos 25º e 23º lugares, respectivamente – esperemos que a Força os possa proteger -.
Mas não se pode dizer que tudo sejam más notícias. Nota-se um esforço por parte dos utilizadores (e dos site Web) em adoptarem passwords maiores, embora a adição de mais alguns caracteres a passwords baseadas em padrões simples torne esse esforço praticamente inútil como medida de segurança. Esse esforço será mais bem direccionado se:
- forem utilizadas passwords de 10 ou mais caracteres que utilizem uma mistura de letras (maiúsculas e minúsculas), dígitos e caracteres de pontuação, ou uma frase (passphrase) com quatro palavras não relacionadas (provavelmente mais fácil de lembrar mas mais difícil de adivinhar), e
- a mesma password/passphrase não for utilizada em sites diferentes.
Como terceiro ponto neste esforço, temos a utilização de um software/app gestor de password/passphrase (e.g., SplashID ou LastPass) que pode ser muito útil, já que permite organizar, gerar e proteger as password/passphrase, assim como preencher automaticamente os dados de autenticação (login e password) num site web. Contudo, estamos a facilitar a vida a quem quiser obter as password/passphrase já que lhe basta atacar com sucesso bugs/deficiências no software/app ou, adivinhar a (uma) password/passphrase de acesso ao software/app para obter todos os dados de autenticação … . É um risco que cada um terá de pensar se quer correr.
Aqui fica a lista completa (entre parêntesis, a posição de cada password em 2014) – se alguma das suas passwords se encontra nesta lista, mude-a rapidamente -:
- 123456 (#1)
- password (#2)
- 12345678 (#4)
- qwerty (#5)
- 12345 (#3)
- 123456789 (#6)
- football (#10)
- 1234 (#7)
- 1234567 (#11)
- baseball (#8)
- welcome (nova)
- 1234567890 (nova)
- abc123 (#14)
- 111111 (#15)
- 1qaz2wsx (nova)
- dragon (#9)
- master (#19)
- monkey (#12)
- letmein (#13)
- login (nova)
- princess (nova)
- qwertyuiop (nova)
- solo (nova)
- password (nova)
- starwars (nova)
