A senha mais usada no mundo é exatamente a que você está imaginando: “123456”. É o que aponta o mais recente relatório anual da NordPass sobre senhas expostas em vazamentos de dados ao redor do mundo. Outras combinações igualmente óbvias, como “123456789”, “12345678”, “12345” e “admin”, também seguem aparecendo ano após ano, mostrando que esse padrão continua muito presente.

Minha primeira reação é tratar isso como exagero, especialmente porque a “má higiene” de senhas também foi tema de uma sessão com a comunidade que apresentei na recente conferência RSAC, “Let’s Rant: 4 Things That Need to Change in Cybersecurity”.

Mas, como o Dia Mundial da Senha é celebrado este mês, resolvi testar na prática: ainda é possível encontrar um site relativamente comum que permita criar uma conta usando “123456” como senha? Infelizmente, a resposta é sim.

Existem sites populares, como o Evite, que ainda permitem usar exatamente essa sequência de seis dígitos como senha. Você pode até achar que não é grande coisa por ser apenas um serviço de convites on-line, até se dar conta de que está compartilhando dados pessoais nesses convites e, possivelmente, gerenciando as respostas de todos os seus convidados por meio de uma conta que não é nada segura. A parte mais chocante desse teste bem básico é que o Evite sofreu um vazamento de dados em 2019 que afetou as informações pessoais de mais de 100 milhões de pessoas. A essa altura, a empresa já deveria saber muito bem que não é uma boa ideia permitir senhas tão fracas.

A situação não melhora muito nem mesmo em serviços bem mais famosos. Quando tentei criar uma conta nova no Facebook, a plataforma até exigiu um nível extra de complexidade na senha. No entanto, uma sequência super simples como “1234567!” acabou sendo aceita sem problemas. O X (antigo Twitter) ofereceu uma experiência bem parecida.

Agora, o Facebook, por exemplo, até oferece algumas orientações, como: “evite usar palavras comuns, como ‘password’” e “se a sua senha não for forte o suficiente, misture letras maiúsculas e minúsculas. Deixe-a mais complexa usando uma frase mais longa ou uma combinação de palavras que você consiga lembrar, mas que outras pessoas não conheçam”.

Ainda assim, a plataforma aceita o uso de “1234567!”, sem letras, apenas um padrão sequencial com um ponto de exclamação no final, algo fácil de adivinhar, especialmente para scripts automatizados que testam contas em massa em busca de padrões comuns.

Enquanto isso, o dicionário Collins, que lida com um conteúdo muito menos sensível, me obrigou a criar uma senha de oito caracteres com pelo menos três dos seguintes elementos: letras minúsculas (a-z), letras maiúsculas (A-Z), números (0-9) e caracteres especiais (por exemplo, !@#$%^&*).

Os dados da NordPass sugerem que existem muito mais sites com políticas de senha limitadas e que ainda permitem combinações triviais, como “123456”. No entanto, também acredito que pode haver fatores herdados na forma como as senhas mais comuns são calculadas. Por exemplo, se uma empresa existe há 10 anos e nunca excluiu contas inativas, um vazamento pode incluir dados antigos de usuários que talvez tenham criado suas senhas antes de entrarem em vigor políticas mais rígidas. Também é fácil entender a motivação por trás da divulgação desses dados chamativos: os fornecedores que impulsionam esse tipo de notícia podem sair ganhando, já que oferecem gerenciadores de senhas por assinatura.

Quebrar o ciclo

Então, como resolver esse ciclo interminável de problemas com senhas, somado ao absurdo de as plataformas continuarem permitindo credenciais inseguras?

Não sou a favor de que legisladores tenham de superproteger os cidadãos, mas, neste caso, acho que já passou da hora de intervir e acabar com a prática de empresas que não implementam políticas rígidas de autenticação e ainda deixam os usuários escolherem o caminho mais fácil. Já existe uma ampla legislação de privacidade que exige que as empresas protejam nossos dados pessoais quando os armazenam, por meio de medidas razoáveis de cibersegurança. Uma parte central dessas medidas é o uso de senhas fortes e autenticação multifator (MFA), como exige qualquer framework sério de cibersegurança. Ainda assim, em muitos casos, não há exigências específicas sobre autenticação em serviços voltados ao usuário final.

Por outro lado, alguns setores já foram obrigados a se modernizar. No Brasil, especialmente no setor financeiro, normas do Banco Central e exigências de cibersegurança vêm elevando o nível de proteção no acesso a contas e transações digitais. Embora o país não tenha uma regra equivalente à PSD2 europeia nos mesmos termos, o mercado financeiro brasileiro já opera com camadas adicionais de autenticação e mecanismos de verificação em diversas jornadas sensíveis.

A legislação deveria ser ampliada para todos os setores: tornar obrigatório o MFA para todas as contas criadas na internet, independentemente do serviço, deixar para trás o uso ultrapassado de senhas e avançar para um modelo de segurança mais adequado à internet de hoje.

O principal obstáculo para essa abordagem é a barreira de entrada na criação de contas. Empresas que dependem de publicidade ou da coleta, e venda, de dados pessoais certamente fariam pressão contra isso, e aquelas com orçamentos maiores tentariam impedir qualquer medida que possa afetar seus lucros, especialmente exigências como senhas mais complexas ou MFA para proteger as contas dos usuários.

Ao longo de boa parte da minha carreira de mais de 30 anos em cibersegurança, o problema das senhas fracas foi uma mensagem recorrente, repetida em eventos e campanhas durante anos. Existe uma forma simples e eficaz de resolver isso: exigir senhas robustas ou, melhor ainda, MFA. Será que já podemos parar de falar de “senhas fracas” de uma vez por todas?

Para gerar senhas seguras e saber mais sobre a proteção de contas online, acesse a página do gerador gratuito de senhas exclusivas da ESET.