Conteúdos

Sua senha vazou, seu risco não mudou

Resumo

  • No dia 18 de junho surgiram notícias de um suposto vazamento de 16 bilhões de credenciais (login e senha), incluindo de serviços como Google, Facebook e Apple.
  • A primeira recomendação nas matérias é mudar a senha desses serviços.
  • Embora bem intencionada, essa recomendação não é necessariamente a mais eficaz ou necessária.
  • Todas as matérias citam a mesma fonte. Não parece haver verificação independente.
  • As evidências apresentadas pela fonte parecem representar uma compilação de vazamentos conhecidos.
  • Neste texto reconto a história, exploro as formas com que suas credenciais podem estar vulneráveis e formas de mitigar o risco.
  • Essencialmente: cada conta sua tem que ter uma senha única que não se repete e que seja longa (mínimo 16 caracteres) e fácil para você se lembrar (isso pode significar deixar em um gerencial de senhas)
  • Não deixe de ativar as verificações em duas etapas (códigos de segurança)

O “grande vazamento”

No dia 18 de junho de 2025, o site Cybernews publicou uma notícia afirmando que seus pesquisadores “descobriram uma infinidade de bases de dados supermassivas, abrigando bilhões de credenciais [… revelando] 16 bilhões de registros”. Isso dá “duas contas vazadas por pessoa no planeta”, o que pode parecer absurdo, mas consultando aqui, meu gerenciador de senhas tem 293 entradas (sendo dessas, 284 senhas que não se repetem: volto a falar disso mais tarde), então esses 16 bilhões de credenciais não parecem representar uma fração tão chocante da população. Além disso, pode haver grande intersecção entre as bases de dados e o número de contas potencialmente comprometidas ser bem menor.

A história foi rapidamente repercutida por meios como a Forbes, ZDNet, Tecmundo, Tecnoblog e G1. Desses, com exceção do Tecmundo, todos repercutiram de forma mais ou menos acrítica o relato da fonte. O G1 mencionou o Troy Hunt — criador do serviço Have I been Pwned que informa se seu email ou senha aparecem em algum banco de dados de vazamentos — e ele ainda está considerando se os dados desse gigavazamento devem entrar no banco de seu serviço. O Tecmundo foi mais crítico e citou profissionais que consideram mais provável se tratar de uma compilação de dados já vazados possivelmente incluindo dados “inventados”.

O Portal Bleeping Computer é mais categórico em afirmar que o vazamento “não é um novo vazamento, ou sequer é um vazamento e que os sites envolvidos não foram recentemente atacados para se roubar essas credenciais”.

Essencialmente, não é esta coleção de credenciais que deve lhe alarmar para sair mudando todas as suas senhas antes que algum adolescente espinhento usando moletom de capuz preto em um porão cheio de computadores possa abrir seu Gmail. Seu risco de de ter alguma conta acessada por pessoas não autorizadas não aumentou devido a essa notícia. Mas o Medo, incerteza e dúvida exacerbados pela cobertura da mídia podem abrir portas para ataques de engenharia social que, estes sim, podem comprometer sua cybersegurança: “Clique aqui e veja se você está entre os 16 bilhões de vítimas!!!”, “Suporte AppIe: devido ao v4z4mento recente, você deve redefinir sua senha nas próximas 3 horas ou terá seu conteúdo do iCl0ud 4pagad0 por segurança, clique aqui para atualizar sua senha”: mensagens como essa, que se aproveitam de uma noção aumentada de risco, da curiosidade e de uma sensação de urgência são capazes de enganar até renomados especialistas em segurança.

Fortificando seus logins

Mecanismos de controle de acesso (senhas, códigos de segurança, passkeys etc) são medidas defensivas. Toda medida defensiva é implementada levando em conta contra o quê se está defendendo. Claro: seu provedor de email pede uma senha para que suas mensagens não sejam vistas por qualquer um. Apesar disso, e-mails tipicamente não são criptografados e trafegam em texto-puro1 pela internet. São mais como um cartão postal do que uma carta dentro de um envelope. Só que para acessar o conteúdo dos e-mails precisaria ter alguém “lendo” todos os pacotes que saem dos provedores envolvidos, então não é uma vulnerabilidade muito praticável de ser executada só para passar um golpe de alguns milhares de reais. É mais “fácil” conseguir a sua senha ou pegar carona numa sessão em que você fez login. O atacante precisa hackear você e não o Google.

Senhas únicas

A maneira mais fácil de eu ter uma boa ideia de qual deve ser sua senha em um serviço é se eu souber sua senha em outro serviço. Se você repetir a senha, o comprometimento de qualquer uma delas ameaça as demais. O atacante não precisa hackear o Google se você usa a mesma senha no site da empresa de ônibus que foi feito pelo sobrinho do dono, cuja segurança é bem mais fraca. O nome desse ataque é credential stuffing.

A primeira sugestão de como aumentar a sua segurança, então, é não repetir senhas. Cada login deve ter uma senha nova. Isso inclui não apenas evitar repetir as suas senhas, mas também não repetir senhas usadas por outras pessoas, ou seja, evite 123456 e semelhantes. Em casos de ataques contra contas específicas, primeiramente tenta-se utilizar senhas que já existem em bases de dados de vazamentos. O site Have I been Pwned pode dizer se alguma senha já foi utilizada por alguém cujos dados vazaram.

Mas eu vou ter que decorar mais de 100 senhas? — pergunta Sagredo. Não. Antigamente até tínhamos métodos para alterar as senhas sistematicamente: se a senha do gmail era G_s3nh4d1f1c1il_mail a senha do Facebook poderia ser Face_s3nh4dificil_book e isso dificultaria o uso da senha pelo atacante: seria necessário um humano olhar essa senha e imaginar como ela seria modificada para funcionar no outro serviço. Não vale a pena o trabalho.

Mas tem uma forma melhor de gerenciar esse monte de senhas.

Gerenciadores de senhas

Utilize um gerenciador de senhas. É um programa que armazena todas suas senhas em um arquivo criptografado. Utilize uma senha forte para trancar esse arquivo e pronto. Você não precisa se lembrar de senha nenhuma, é só pedir pro gerenciador. Os principais têm extensões para o navegador e já preenchem o login e a senha no site correto, ou deixam pronto para você dar apenas CTRL-V no campo de senha.

Outro recurso que os gerenciadores de senha têm é justamente um gerador de senhas. Se você não precisa decorar sua senha, ela não precisa ser algo fácil de memorizar (e nem nome/data de nascimento de cônjuge/filhe/pet/si mesme) e nem fácil de digitar. A um toque de um botão, ele gera uma senha boa como

arKCMpOqAOMXtIdbO84gxmSShYigsCzgGVegucSu

ou

ÔGræ±X³aÁ©â¹âV·5nóq¼ÉØÓZÚýÆß«YX·D¢¡å¯Á¼ÿ

Existem diversos serviços online de gerenciamento de senha, como o 1Password, Dashlane, LastPass e BitWarden. Como esses serviços são completamente online (com exceção talvez do BitWarden), eles são suscetíveis às mesmas ameaças que outros serviços, inclusive já houve casos de vazamento desse tipo de serviço.

Ferramentas como o KeePassXC salvam o banco de dados em um arquivo, que você pode manter num pendrive, sincronizar por serviços de nuvem como o Dropbox etc. É este que uso. Minha política é que todas as minhas senhas moram nesse arquivo e eu gero uma senha nova cada vez que crio uma conta em algum lugar.

A transição da senha decorada para o gerenciador de senhas pode ser um pouco trabalhosa, especialmente se seguir a minha recomendação de não simplesmente anotar as suas senhas lá, mas sim mudar as senhas para senhas geradas pelo programa: uma vez decidido usar o gerenciador, na primeira vez que você acessar qualquer serviço, mude a senha para uma gerada e a partir daí use o gerenciador para fazer o login. Aos poucos você vai populando seu gerenciador de senhas e aumentando a sua segurança geral.

Senhas fortes são senhas longas

Uma clássica tirinha chamou a atenção para isso: a tradição de exigir pelo menos uma letra maiúscula, uma minúscula, um número, um “caractere especial” etc. para criar senhas acabou criando uma tendência de utilizarmos senhas fracas que parecem fortes. Pelo menos contra ataques de força bruta, em que se tenta diversas senhas até acertar. Contra esse tipo de ataque, o melhor é ter senhas longas. “Longa” é algo a partir de 25 caracteres. Se você não usa um gerenciador de senhas ou precisa de fato digitar a senha em computadores que não têm o gerenciador instalado — como o computador da sala de aula, que apesar de confiar no pessoal da TI daqui, não sei como alguém tem coragem de digitar a senha do sistema acadêmico neles, acho até anti-higiênico! — o melhor é juntar quatro a seis palavras comuns que são fáceis de lembrar, mas muito difíceis de adivinhar:

correct horse battery staple
calça orelha mesa elefante

Se você usa um gerenciador de senhas, é mais fácil ainda, pois pode gerar senhas formadas pelos caracteres mais aleatórios possíveis e juntando 40 deles (ou 64 como é minha senha do sistema acadêmico), dificilmente ela será quebrada.

Verificação em duas etapas

Verificação em duas etapas, two-factor authentication (2FA), consiste em utilizar dois fatores independentes para autenticar o usuário. Tipicamente junta-se algo que você sabe: a senha, com algo que você tem: seu celular ou seu e-mail que vai receber um código de validação temporário. Isso garante que não basta que alguém consiga sua senha, tem que ter seu celular e/ou interceptar a mensagem com seu código.

A maneira menos segura de fazer isso é recebendo o código por SMS, que é vulnerável a ataques (mesmo que sofisticados) de interceptação.

O importante para se lembrar que que o único lugar onde você deve digitar o código de segurança é na interface (site, app) do serviço onde você acabou de tentar acessar. Ataques de engenharia social são a forma mais comum de burlar este método. Alguém entra em contato com você por algum pretexto (Aqui é da OLX, seu anúncio precisa ser validado por nosso sistema, por favor envie o código que você vai receber por SMS agora) enquanto tenta acessar algum sistema que sabe ser seu (OLX, Whatsapp, gmail) para gerar a mensagem com o código de segurança. Para se defender, vale a defesa geral contra qualquer engenharia social: nunca dê informações a alguém que iniciou o contato com você.

Outras tecnologias

O Google e a Apple têm forçado a barra no incentivo ao uso dos Passkeys, que são chaves criptográficas que autenticam o usuário de forma potencialmente menos vulnerável que senhas, mas há especialistas na comunidade de cybersegurança que continuam céticos.

Modelos de ameaça

Existem diversas formas com que um atacante pode ter acesso às credenciais de um usuário. Contra cada uma delas há defesas mais ou menos eficazes.

Roubo de dados do servidor

O hacker acessa o servidor do site alvo e simplesmente copia o banco de dados de usuários. Informações pessoais como nome, login/nome de usuário, email, endereço, número de cartão de crédito, status da conta tipicamente fazem parte dos dados roubados dessa forma. Senhas podem ou não aparecer nessa coleção, dependendo de como o servidor as armazena. Se armazenar da forma que seria o “padrão ouro”: hash e salt, o atacante deverá desprender uma quantidade razoável de recursos para recuperar essas senhas.

Isso porque senhas armazenadas com hash e salt são encriptadas de maneira irrecuperável: é matematicamente impossível2 saber qual a senha a partir do par hash e salt armazenado. O que o sistema faz para verificar se o usuário entrou com a senha certa é repetir o procedimento de hash e salt na senha que o usuário digitou e ver se isso coincide com o que está no sistema. O atacante precisa então testar por força-bruta todas as senhas possíveis para saber qual delas corresponde à que está no banco de dados. Atualmente, com computadores acessíveis a pessoas físicas é possível testar uns 400 milhões de senhas por segundo.

Por isso senhas longas são fortes contra esse ataque: além de demorar (e custar) exponencialmente mais, um atacante típico, que procura vítimas vulneráveis e não mira em pessoas específicas, vai utilizar as contas a que conseguir acesso primeiro.

Por outro lado, se o sistema armazenar as senhas de forma errada, seja com as senhas em texto plano, seja criptografadas de forma reversível, basta o atacante lê-las. Essencialmente, se você clicar “esqueci a senha” e o serviço te mandar a sua senha por email, esse serviço é vulnerável ao roubo de senhas. O site do CNPq era assim até há poucos anos, quando passaram a usar o Gov.BR. Responderam a uma reclamação afirmando que a senha fica criptografada no banco, mas se o servidor consegue desencriptar a senha, quer dizer que eles guardam a chave junto com o cadeado.

Infostealers

Estes são ataques ao usuário: essencialmente vírus (malware) que varrem os dados salvos no computador atrás de senhas salvas no navegador (geralmente não encriptadas) ou mesmo cookies de sessão. O atacante copia o cookie e finge que é você usando o navegador.

Determinação do alvo

Tipicamente esses ataques são massivos: milhares ou milhões de usuários são atacados diariamente, com baixíssima taxa de sucesso. As contas que os malfeitores conseguirem acessar serão varridas atrás de itens de interesse (outra senhas, criptomoedas etc).

Dificilmente tratamos com o modelo de ameaça de que “tem alguém querendo ME atacar”, então não se supõe um nivel de dedicação a um único usuário suficiente para causar dano. Caso esse seja seu modelo realista de ameaça, você deve saber de tudo isto que falei melhor que eu.

Referências


  1. Hoje em dia os dados viajam entre os servidores criptografados no esquema TLS, então não é mais tão escancarado assim, mas o ponto permanece. ↩︎

  2. Supondo que o hash seja feito com um algoritmo que ainda não tenha sido quebrado. ↩︎