etechpt.com

Segurança Online: Proteja-se do “Enchimento de Credenciais”!

Foto do autor

By luis

Cerca de 500 milhões de contas do Zoom estão sendo

comercializadas na dark web

, resultado de uma prática criminosa conhecida como “credencial stuffing” ou “enchimento de credenciais”. Este método, comum entre cibercriminosos, permite o acesso não autorizado a contas online. Vamos explorar o significado deste termo e como você pode fortalecer sua proteção digital.

O Ponto de Partida: Bases de Dados de Senhas Vazadas

Ataques a serviços online são eventos frequentes. Os criminosos, aproveitando-se de vulnerabilidades em sistemas, obtêm acesso a bancos de dados contendo informações de login, como nomes de usuário e senhas. Esses dados roubados são, frequentemente, vendidos na dark web, com pagamentos em Bitcoin para quem deseja adquiri-los.

Imagine que você possua uma conta no fórum do Avast, que sofreu uma

invasão em 2014

. Seus dados de acesso, incluindo nome de usuário e senha, podem ter sido comprometidos. Embora o Avast possa ter solicitado a troca da sua senha nesse fórum, há um problema maior.

O grande problema é que muitas pessoas reutilizam as mesmas senhas em diferentes plataformas. Se, por exemplo, suas credenciais do fórum Avast forem “[email protected]” e “MinhaSenhaIncrivel”, e você utilizou exatamente as mesmas informações em outros sites, qualquer criminoso que tenha acesso a esses dados vazados também poderá acessar essas outras contas.

Enchimento de Credenciais: Como Funciona

O “enchimento de credenciais” consiste em utilizar essas bases de dados com informações de login vazadas para tentar acessar outras plataformas online.

Cibercriminosos obtêm grandes listas de combinações de nome de usuário e senha – frequentemente, milhões de credenciais – e tentam utilizá-las para fazer login em outros sites. Como muitas pessoas reutilizam senhas, algumas dessas tentativas são bem-sucedidas. Esse processo, geralmente, é automatizado por softwares que testam múltiplas combinações de login rapidamente.

Apesar de parecer algo muito técnico, o processo é bastante direto: tentar credenciais já vazadas em outros serviços e ver quais funcionam. Em outras palavras, os invasores inserem as credenciais em formulários de login e aguardam o resultado. Algumas delas, invariavelmente, funcionam.

Esta é uma das formas mais comuns de invasão de contas online atualmente. Apenas em 2018, a rede de distribuição de conteúdo

Akamai

registrou quase 30 bilhões de tentativas de “enchimento de credenciais”.

Como se Proteger

A proteção contra o “enchimento de credenciais” é simples e envolve a adoção de práticas de segurança de senhas já recomendadas por especialistas há anos. Não existe uma solução mágica, apenas a boa gestão de suas senhas. Confira as recomendações:

  • Evite reutilizar senhas: Utilize senhas únicas para cada conta que você possui. Assim, mesmo que uma senha seja vazada, ela não poderá ser usada em outros sites.
  • Use um gerenciador de senhas: Memorizar senhas complexas e únicas é difícil. Recomendamos utilizar um gerenciador de senhas como
    1Password (pago) ou
    Bitwarden (gratuito e de código aberto) para armazenar suas senhas de forma segura. Eles podem, inclusive, gerar senhas fortes para você.
  • Habilite a autenticação de dois fatores: Com a autenticação de dois fatores, você precisa fornecer uma informação adicional, como um código gerado por um aplicativo ou enviado por SMS, a cada login em um site. Mesmo que um invasor tenha suas credenciais, ele não poderá acessar sua conta sem esse código.
  • Receba notificações sobre vazamento de senhas: Utilize serviços como o
    Have I Been Pwned? para ser notificado caso suas credenciais apareçam em algum vazamento.

Como Serviços Online Podem se Proteger

Embora os usuários precisem se responsabilizar pela segurança de suas contas, os serviços online também podem adotar medidas para se proteger contra ataques de “enchimento de credenciais”.

  • Verificar bases de dados vazadas: Empresas como Facebook e Netflix

    verificam

    bases de dados de senhas vazadas e as comparam com as credenciais dos usuários em suas plataformas. Se houver correspondência, podem solicitar que o usuário altere sua senha, mitigando o “enchimento de credenciais”.
  • Oferecer autenticação de dois fatores: Os usuários devem ter a opção de habilitar a autenticação de dois fatores para fortalecer a segurança de suas contas. Serviços mais sensíveis podem tornar essa medida obrigatória e exigir a confirmação de login por meio de um link enviado para o email do usuário.
  • Exigir CAPTCHA: Se uma tentativa de login parecer suspeita, o serviço pode exigir a inserção de um código CAPTCHA ou outro método de verificação para confirmar que é uma pessoa e não um bot que está tentando acessar a conta.
  • Limitar tentativas de login repetidas: Os serviços devem implementar medidas para impedir que bots realizem um grande número de tentativas de login em um curto período. Bots sofisticados podem tentar acessar de múltiplos endereços IP para dificultar a detecção do ataque de “enchimento de credenciais”.

Práticas inadequadas de senhas, juntamente com sistemas online vulneráveis, tornam o “enchimento de credenciais” uma séria ameaça à segurança de contas. Não é surpresa que muitas empresas de tecnologia busquem construir um mundo mais seguro e sem senhas.

Fontes Confiáveis COVID-19: Apps e Sites para se Informar

Desative a Tecla Insert no Windows 10: 3 Métodos Simples!