Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

terça-feira, 24 de maio de 2016

Vazamento de senhas do Linkedin v2016


Semana passada uma ocorrência de 2012 voltou as manchetes (http://thehackernews.com/2016/05/linkedin-account-hack.html) .

Em 2012 o LinkedIn sofreu ataque onde de acordo com as informações o dados de 6 milhões de pessoas haviam vazado, esse dados incluiam os logins e as senhas cifradas.

Semana passada por volta do dia 18 de maio, apareceu a venda na DeepWeb uma base do LinkedIn contendo nada menos que 167 milhões de contas sendo que   117 milhões das senhas já foram "crackeadas". ( significa que sua senha provavelmente já foi descoberta )

Alguns sites publicaram as senhas mais utilizadas e suas frequencias, que aqui reproduzo .

Rank Password Frequency
1 123456 753,305
2 linkedin 172,523
3 password 144,458
4 123456789 94,314
5 12345678 63,769
6 111111 57,210
7 1234567 49,652
8 sunshine 39,118
9 qwerty 37,538
10 654321 33,854
11 000000 32,490
12 password1 30,981
13 abc123 30,398
14 charlie 28,049
15 linked 25,334
16 maggie 23,892
17 michael 23,075
18 666666 22,888
19 princess 22,122
20 123123 21,826
21 iloveyou 20,251
22 1234567890 19,575
23 Linkedin1 19,441
24 daniel 19,184
25 bailey 18,805
26 welcome 18,504
27 buster 18,395
28 Passw0rd 18,208
29 baseball 17,858
30 shadow 17,781
31 121212 17,134
32 hannah 17,040
33 monkey 16,958
34 thomas 16,789
35 summer 16,652
36 george 16,620
37 harley 16,275
38 222222 16,165
39 jessica 16,088
40 GINGER 16,040
41 michelle 16,024
42 abcdef 15,938
43 sophie 15,884
44 jordan 15,839
45 freedom 15,793
46 555555 15,664
47 tigger 15,658
48 joshua 15,628
49 pepper 15,610

( fonte: https://www.leakedsource.com/blog/linkedin )

Ai, decidi ver as "estatísticas" de uma forma diferente. Quais seriam as teclas mais utilizadas nas senhas ?
Fiz um programa em PHP para ler um arquivo de palavras e gerar um gráfico, e o resultado está aqui.


Nesse exemplo eu usei somente uma vez cada senha. (eu não coloquei 750 mil vezes a senha "123456")

Acredito que deveriamos ter uma distribuição mais homogenea. (tentarei futuramente com mais senhas)

Como desafio, tente usar menos as letras E R I O A S L N e os números 1 e 2 nas suas próximas senhas. ( será que conseguimos algum anagrama interessante com essas letras ? )

Resumo: Não adianta ter criptografia de curva Elíptica, se as pessoas tem memória fraca (e isso inclui votar nos mesmos políticos ruins) . Quando e como iremos substituir as senhas ? (pelo menos esse tipo de senha ? )

(Para que serve isso ?  Talvez para sair um pouco do obvio e mostar algo diferente para os gerentes e clientes.)

Em tempo: Recebi do LinkedIn uma simpatica mensagem solicitando a troca da minha senha. Nã, minha senha não está nessa lista !  Não, não é phishing ! É real.
Eu já troquei e voce ? ( só não vai colocar a mesma tentanto iludir o bandido ... )

Segurança Importa ?