Aqui está a melhor maneira de se proteger contra a quebra de senhas:
- 🔐 Use um gerenciador de senhas confiável como o 1Password para gerar senhas complexas que são praticamente impossíveis de decifrar. O 1Password armazena todas as senhas usando criptografia avançada e salva e preenche automaticamente todos os seus logins. Ele também avisa quando suas senhas são comprometidas em uma violação de dados.
- Adquira já o 1Password (14 dias sem riscos).
Os hackers usam vários métodos de quebra de senha para violar contas on-line. Visto que os ataques on-line estão aumentando, é importante saber como os hackers decifram as senhas para que você possa evitar que suas credenciais de login e outras informações pessoais sejam roubadas.
Este artigo aborda técnicas de quebra de senha comumente usadas, ferramentas de quebra populares, o que você deve fazer se sua senha for decifrada e como proteger suas senhas.
Faça o download do 1Password (14 dias sem riscos)
Três passos rápidos para proteger suas senhas de hackers:
- Criar senhas longas, complexas e exclusivas para cada uma de suas contas. Senhas de 16 caracteres (ou mais) com uma variedade de caracteres são difíceis de decifrar.
- Ativar a autenticação de dois fatores (2FA) para suas contas. A 2FA exige que você forneça uma forma adicional de verificação em combinação com sua senha, geralmente um código único.
- Usar um gerenciador de senhas. Um gerenciador de senhas como 1Password torna muito mais fácil armazenar e organizar com segurança centenas de senhas complexas.
Nós NÃO encorajamos ou toleramos a quebra ou hackeamento de senhas. Este artigo é somente para fins educacionais e se destina a indivíduos que procuram proteger suas senhas e entender melhor os riscos de segurança cibernética.
As 11 técnicas mais comuns de quebra de senha
Embora existam muitos métodos de quebra e hackeamento de senha, aqui estão as técnicas mais usadas.
1. Ataques de força bruta
Um ataque de força bruta envolve um hacker gerando aleatoriamente milhares de senhas em potencial a cada minuto com base em diferentes variáveis, incluindo uma combinação de caracteres, como letras maiúsculas e minúsculas, números e caracteres especiais, e inserindo-os no campo “senha”.
Embora os hackers possam inserir manualmente as senhas geradas, eles também podem usar um programa de ataque de força bruta que basicamente bombardeia o campo de login com combinações de senha até que ele adivinhe a correta.
A descrição acima é uma forma clássica de ataque de força bruta. No entanto, há outros tipos de ataques de força bruta, incluindo:
- Ataques reversos de força bruta — Este ataque envolve um hacker começando com uma senha vinculada a uma conta de site e tentando adivinhar o nome de usuário correspondente.
- Ataques de preenchimento de credenciais — Os hackers usarão credenciais roubadas em outros sites na esperança de que o usuário reutiliza o mesmo nome de usuário e senha para vários sites.
- Ataques híbridos de força bruta — Usando uma combinação de técnicas de ataque de força bruta e um banco de dados de senhas vazadas conhecidas.
2. Ataques de dicionário
Um ataque de dicionário envolve hackers decifrando senhas com uma “lista de dicionário” de palavras e frases comuns. Esse tipo de técnica de quebra de senha é parecido a um ataque de força bruta. Os hackers simplesmente usam palavras do dicionário ou ferramentas sofisticadas para editar cada palavra, por exemplo substituir “O” por “0” ou adicionar pontuação para adivinhar a combinação de senha.
3. Adivinhando a senha
Se os hackers não puderem usar programas de força bruta, eles sempre poderão tentar adivinhar a senha do usuário. Os hackers podem adivinhar a senha de um usuário obtendo mais informações sobre ele (sobrenome, endereço residencial, nomes de animais de estimação, data de nascimento, etc.) e inserindo combinações de senha com base nas informações pessoais do usuário.
4. Phishing
Phishing é uma técnica em que os hackers criam sites clonados com o objetivo de enganar os usuários para que forneçam credenciais de login ou outras informações pessoais.
As técnicas de phishing mais comuns são:
- Phishing de e-mail — Envio de e-mails em massa que incluem links para sites de phishing para destinatários aleatórios.
- Spear phishing — Envio de links de phishing por e-mail para indivíduos específicos, geralmente funcionários da empresa.
- Smishing — Envio de mensagens SMS fraudulentas
- Phishing de mídia social — Postar links para sites maliciosos em sites de redes sociais, especialmente em seções de comentários, por exemplo: comentários do YouTube ou respostas do Twitter.
O phishing é uma das ameaças de cibersegurança mais comuns. No entanto, se você tiver um software de segurança de Internet respeitável instalado em seus dispositivos, como o Norton ou Bitdefender, ele o impedirá de acessar sites de phishing ou irá alertá-lo sobre links suspeitos.
5. Engenharia social
A engenharia social é quando os hackers enganam os alvos para que forneçam informações privadas, fazendo-se passar por agentes legítimos, como funcionários do banco. Os hackers aproveitam as informações básicas de um alvo para melhor manipulá-los a fornecer informações sem saber.
Os ataques de engenharia social geralmente são realizados de várias maneiras, por exemplo:
- Ligações fraudulentas — Os alvos são convencidos a fornecer informações pessoais a um golpista que se faz passar por um representante de uma empresa legítima, como um banco.
- E-mails — Os golpistas enviarão e-mails cuidadosamente elaborados se passando por agentes legítimos e convencerão os alvos a fornecer informações privadas ou baixar malware em seus dispositivos. Os golpistas geralmente conversam com o alvo para conquistar a confiança.
- Mensagens de mídia social — Os hackers podem se passar por contas de empresas ou até mesmo amigos para enganar os usuários.
- Pessoalmente — Os golpistas podem até realizar ataques de engenharia social pessoalmente, às vezes, usando um uniforme falso para parecer que estão representando a empresa e fazendo uma série de perguntas.
6. Spyware
Spyware é um tipo de malware oculto que consegue monitorar e registrar todos os seus movimentos em um computador ou celular. Ele consegue até ajustar as configurações do seu dispositivo e controlar as webcams. Basicamente, o spyware consegue observar todos os seus movimentos on-line, ver os sites que você visita e registrar os nomes de usuário e senhas que você usa para acessar os sites. Os hackers poderão acessar facilmente suas contas.
Geralmente, o spyware é difícil de detectar, mas um scanner antivírus eficiente conseguirá detectar e remover o spyware.
7. Keyloggers
Keyloggers ou malware de keylogging registram seus toques do teclado na tentativa de roubar suas informações confidenciais. Esse tipo de malware é classificado como uma forma de spyware. Após um keylogger registrar suas teclas digitadas, ele transmitirá as informações aos hackers que determinarão as contas associadas às suas credenciais de login.
8. Ataques Man-in-the-Middle (MITM)
Um ataque Man-in-the-Middle envolve hackers espionando as atividades na rede e interceptando os dados transferidos por uma rede, incluindo nomes de usuário, senhas, detalhes de cartão de pagamento e muito mais. Os ataques MITM geralmente ocorrem em redes não seguras, como pontos de acesso Wi-Fi públicos, que permitem que agentes mal-intencionados empreguem técnicas sofisticadas de hackeamento (como IP spoofing) para interceptar os dados da rede.
9. Spidering
Spidering é uma técnica de quebra de senha em que um hacker coleta informações sobre uma empresa ou indivíduo com o objetivo de adivinhar melhor suas credenciais de login. Após pesquisar a rede social da vítima, presença na web e outras fontes, o hacker gera combinações de senha com base nas informações coletadas, como senhas incluindo a data de nascimento da vítima, nome da empresa, etc.
10. Ataques rainbow table
Uma rainbow table (tabela de arco-íris) é uma grande tabela precomputada de hashes reversos que são usados para quebrar hashes de senha. No entanto, os hackers primeiro devem ter acesso a uma lista de hashes de senha antes de realizar um ataque rainbow table, que geralmente é acessível após uma violação de dados. Esses ataques podem ser interrompidos através de uma técnica moderna chamada “salting”. O “salting” adiciona um valor aleatório extra a cada senha com hash para gerar um valor de hash diferente e está incluído na maioria dos sistemas de autenticação de senha.
11. Violações de dados
As violações de dados envolvem hackers acessando os servidores de uma empresa onde você tem uma conta e roubando uma variedade de dados confidenciais, incluindo nomes de usuário e senhas. Se uma ou mais de suas senhas foram comprometidas em uma violação de dados, você deve proteger sua conta imediatamente e alterar as senhas.
Ferramentas populares de quebra de senha
As ferramentas de quebra de senha mais populares são:
- Cain & Abel. Cain & Abel é uma ferramenta popular de quebra de senha que está disponível apenas para Windows. Ela consegue realizar uma ampla variedade de funções, que inclui análise de protocolos de rota e pacotes, varredura de redes sem fio em busca de endereços MAC e condução de força bruta ou ataques de dicionário.
- Hashcat. Hashcat é uma ferramenta grátis de quebra de senha de código aberto para Windows, macOS e Linux. É o cracker de senha mais rápido que existe e consegue também executar ataques de força bruta e de dicionário.
- João, o Estripador (John the Ripper). João, o Estripador é um aplicativo de quebra de senha baseado em comando para Linux e macOS. É grátis, de código aberto e oferece suporte a vários tipos de cifra e hash, incluindo senhas de usuário Unix, macOS e Windows, aplicativos da Web e servidores de banco de dados.
- Ophcrack. Ophcrack é uma ferramenta grátis e de código aberto projetada para quebrar hashes de senha usando ataques rainbow table (tabela de arco-íris). Está disponível para Windows, macOS e Linux. Ela vem com um recurso de ataque de força bruta e consegue decifrar a maioria das senhas em questão de minutos.
- RainbowCrack. RainbowCrack é uma ferramenta de recuperação de senha de força bruta que gera rainbow tables para decifrar as senhas das vítimas.
- CrackStation. CrackStation é um cracker de senha grátis que também usa rainbow tables para acessar hashes de senha.
- WFuzz. WFuzz é uma ferramenta de quebra de senha que é feita principalmente para decifrar senhas de aplicativos da web com ataques de força bruta.
Existem também muitas outras ferramentas de quebra de senha por aí, e os hackers podem até usar várias ferramentas ao mesmo tempo para obter resultados mais rápidos, por isso é importante ficar atento.
Como descobrir se sua senha foi decifrada
- Use um scanner de violação. Um scanner de violação de dados de um gerenciador de senhas superior como 1Password irá notificá-lo se alguma de suas senhas ou outros dados pessoais vazarem na dark web após uma violação de dados.
- Procure atividades suspeitas. Se você notar alguma ação incomum, como mensagens não autorizadas enviadas de seu endereço de e-mail, sua senha provavelmente foi hackeada e você precisa proteger sua conta imediatamente.
- Esteja atento a notificações de login de dispositivos ou locais desconhecidos.Se você receber uma notificação de login de conta de um dispositivo ou local desconhecido, isso provavelmente significa que um hacker tem acesso à senha da sua conta.
- Verifique um banco de dados de senhas comprometidas. Se você tiver uma senha que é usualmente usada (tipo senha123), ela aparecerá durante a verificação de um banco de dados de senhas comprometidas conhecidas e deverá ser alterada o mais rápido possível.
- Procure solicitações de código de autenticação de dois fatores (2FA). Se você receber um código de autenticação de dois fatores enviado ao seu dispositivo sem solicitá-lo, é muito provável que sua senha tenha sido hackeada e um invasor está tentando acessar sua conta.
O que você deve fazer se suas senhas estiverem comprometidas?
A primeira coisa que você deve fazer após descobrir que suas senhas estão comprometidas é alterá-las imediatamente. Esta é a melhor maneira de minimizar qualquer dano que possa ser causado por hackers que invadiram sua conta. Se ainda não fez isso, você também deve ativar a autenticação de dois fatores para a conta associada à sua senha comprometida.
Além disso, é uma boa ideia baixar um gerenciador de senhas superior com um scanner de violação de dados para ver se mais dados confidenciais foram vazados por hackers. O recurso Watchtower do 1Password, por exemplo, notifica você se alguma de suas senhas foi comprometida em uma violação de dados.
Você também deve executar uma varredura na dark web para ver se algum outro dado pessoal vazou e se inscrever em um provedor de roubo de identidade confiável, que o ajudará a impedir que os hackers explorem ainda mais suas informações pessoais.
Como proteger sua senha de ser decifrada (ou hackeada)
Criar senhas fortes
A melhor maneira de impedir que sua senha seja decifrada é usar senhas longas e complexas que são difíceis de decifrar — quanto mais longa e complexa for uma senha, mais difícil será decifrá-la. Uma senha curta como “cats123” poderia ser decifrada em questão de minutos (se não segundos!), já uma senha tipo “CaTs-are_my-Favor1tE_aN1maL!” levaria milhões de anos para ser decifrada usando as ferramentas disponíveis hoje.
Usar um gerenciador de senhas
Um aplicativo gerenciador de senhas como 1Password é uma ótima maneira de armazenar suas credenciais de login com segurança — todos os detalhes são armazenados usando criptografia avançada, tornando praticamente impossível para os hackers acessá-los, a menos que tenham a senha principal. Ele também tem aplicativos para PC e dispositivos móveis disponíveis em português.
Os gerenciadores de senhas também podem gerar facilmente senhas longas e complexas, difíceis de serem decifradas por hackers. A maioria dos principais gerenciadores de senhas possui geradores de senhas com altos limites de caracteres que permitem usar uma mistura de números, letras e símbolos.
Instalar um antivírus
Ao instalar um antivírus, você poderá manter seu dispositivo mais protegido contra técnicas populares de hackeamento de senha, como phishing e spyware. A maioria dos principais programas antivírus permite ativar a proteção da web para impedir que hackers acessem suas senhas através de ataques de phishing.
Meu antivírus favorito para se proteger contra quebra de senha é o Norton. Ele tem uma taxa de detecção de malware de 100%, é altamente seguro, seus aplicativos para PC e dispositivos móveis estão disponíveis em português, e oferecem excelente proteção contra ameaças de phishing, spyware e ransomware.
Estar atento aos golpes on-line
É muito importante ficar atento a sites fraudulentos enquanto navega on-line. Os hackers podem enviar mensagens de phishing por e-mail, texto ou rede social para enganar as vítimas e fazê-las fornecer suas credenciais de login. Por essa razão, você deve estar atento a qualquer mensagem de contatos não confiáveis. Você também deve certificar-se de não baixar nenhum anexo de arquivo suspeito e ativar o filtro de spam do seu e-mail.
Manter seus dispositivos atualizados
É essencial que você atualize o software e o firmware de seus dispositivos quando solicitado. Aplicativos de software e firmware desatualizados podem ter vulnerabilidades exploráveis que precisam de correção. Se você não instalar as atualizações, deixará seu dispositivo vulnerável a ataques cibernéticos de hackers, o que pode resultar na instalação de malware para roubo de senhas.
Perguntas frequentes
A quebra de senha é ilegal?
Sim, a quebra de senha é ilegal. Embora não seja ilegal usar uma técnica de quebra de senha para acessar sua própria senha, fazer o mesmo para acessar a senha de outra pessoa pode levar a processos criminais.
Um gerenciador de senhas superior como 1Password pode ajudar a evitar que sua senha seja decifrada gerando senhas novas e mais fortes e armazenando-as com segurança em seu cofre de senhas.
Como os hackers decifram senhas?
Algumas das técnicas mais comuns de quebra de senha incluem ataques de força bruta, phishing e spyware. Um ataque de força bruta ocorre quando um hacker tenta decifrar a senha de uma vítima gerando aleatoriamente milhares de senhas com base em uma ampla variedade de variáveis. Phishing é uma tática em que os hackers criam sites fraudulentos com o objetivo de induzir os usuários a fornecer seus dados pessoais, enquanto o spyware é um tipo de malware oculto que pode gravar sua tela em um computador ou celular, alterar as configurações do dispositivo e até controlar sua webcam.
Que tipos de senhas são difíceis de decifrar?
As senhas difíceis de decifrar são longas, com muitos caracteres e uma boa mistura de números aleatórios, letras e símbolos. Com isso em mente, a melhor maneira de criar senhas fortes de forma rápida e fácil é usando um gerador de senhas a partir de um gerenciador de senhas superior. O meu favorito é o 1Password. Ele tem um excelente gerador de senhas que permite criar senhas de até 100 caracteres usando senhas aleatórias combinações de números, letras e símbolos.
Como você pode proteger suas senhas contra quebra ou roubo?
Algumas das melhores maneiras de proteger sua senha contra quebra ou roubo são:
Um gerenciador de senhas de ponta (como o 1Password) consegue gerar senhas altamente seguras para você, enquanto que um programa antivírus altamente classificado (como o Norton) consegue manter seu dispositivo protegido contra técnicas de quebra de senha, como phishing e spyware. Além disso, é importante instalar todas as atualizações em seus dispositivos para que seus sistemas estejam protegidos contra novas ameaças cibernéticas.