Um security researcher divulgou uma nova lista atualizada de 500 milhões de palavras-passe violadas para que as organizações possam usá-las para proteger os seus sistemas.
No dia 22 de fevereiro 2018, o especialista australiano, Troy Hunt, publicou a segunda versão do “Pwned Passwords”. O serviço permite aos utilizadores validar se uma palavra-passe foi roubada ou usada para quaquer tipo de fim malicioso. Dessa forma, as organizações podem aproveitar o sistema para garantir que os seus colaboradores estão a usar uma política de palavras-passe forte, e que não estão afetados por incidentes de segurança conhecidos.
Os utilizadores podem descarregar toda a lista ou usar uma ferramenta on-line para verificar as suas palavras-passe. Se a última opção for a escolhida, o serviço notificará os utlizadores se sua palavra-passe estiver na listagem. Ele também mostrará um número de ocorrência, i.e., indica quantas vezes o serviço encontrou a palavra-passe nas várias fontes de fuga de dados.
Such a feature has many potential applications in the security world. 1Password recognized one when it integrated the feature’s k-Anonymity model into its password manager. This fusion lets users gauge their exposure should they choose to opt into 1Password’s new option.
I’m *so* impressed with what they’ve done here; I launched this service only 27 hours ago and they’ve already pushed this out. They had no prior knowledge I was doing this, they just got hands on tools right away and made it happen. That’s awesome.
— Troy Hunt (@troyhunt) February 22, 2018
Hunt disse ainda o seguinte:
This list is not perfect – it’s not meant to be perfect – and there will be some junk due to input data quality and some missing passwords because they weren’t in the source data sets. It’s simply meant to be a list of strings that pose an elevated risk if used for passwords and for that purpose, it’s enormously effective.
Na hora de escolher a sua palavra-passe não facilite. Escolha uma palavra-passe forte, sem qualquer padrão, use p.ex., uma frase como referência.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.