Se você acompanhou o noticiário nos últimos dias, pode ter dado alguma atenção à divulgação de um suposto vazamento de 8,4 bilhões de senhas. Esse tipo de assunto é importante, mas, neste caso, não há motivo para alarde: até o momento, nenhuma evidência de que houve um megavazamento de senhas foi encontrada.

Essa é uma tempestade em copo d’água, então? É o que parece.

Vazamento de senha (imagem ilustrativa: Imagem por Carlos Alberto Teixeira/Pixabay)

RockYou2021: um arquivo de 100 GB

Essa trama começou quando um participante de um fórum para hackers postou um arquivo com cerca de 100 GB de tamanho e nome rockyou2021.txt. Aparentemente, a denominação RockYou2021 é uma referência ao vazamento de 32 milhões de senhas ocorrido em 2009 que ficou conhecido como RockYou.

O usuário que fez a publicação informou que o arquivo é uma compilação de mais de 82 bilhões de senhas. Porém, uma filtragem feita pelo site CyberNews — o veículo que começou essa história — constatou que, na verdade, o arquivo contém 8,4 bilhões de senhas supostamente vazadas.

Trata-se de um número muito menor, mas ainda elevado e que representa quase duas vezes a quantidade de pessoas que acessam a internet no mundo todo (4,7 bilhões de indivíduos, estima-se). É por isso que, em questão de horas, o assunto ganhou o noticiário.

Mas uma análise um pouco mais cuidadosa revela que a tal lista de senhas não é digna de preocupação como aparenta ser, por uma série de razões.

Divulgação do arquivo rockyou2021.txt em fórum (captura de tela: Numerama)

Divulgação do arquivo rockyou2021.txt em fórum (captura de tela: Numerama)

Não há motivo para pânico

Para começar, as senhas incluídas no arquivo aparentemente correspondem a uma compilação de vazamentos anteriores, incluindo o COMB, uma lista com 3,2 bilhões de senhas supostamente vazadas que começou a circular na internet neste ano, detalhe que indica que não houve nenhum vazamento novo.

É claro que 3,2 bilhões de senhas é uma quantidade que preocupa, mas, no RockYou2021, essas combinações não foram associadas a e-mails, contas de usuários ou outras informações. Isoladas, as senhas não passam de conjuntos de caracteres.

Além disso, o próprio autor da postagem alertou que o arquivo removeu espaços e determinados caracteres especiais da lista. Isso, por si só, invalida boa parte das combinações possivelmente verdadeiras.

Tem mais. Troy Hunt, especialista em segurança e criador do Have I Been Pwned, chamou a atenção no Twitter para o fato de a lista consistir, na verdade, em um grande conjunto de palavras. De acordo com ele, a maior parte delas nunca foi usada como senha (ou seja, nunca houve constatação dessa forma de uso para elas).

Hunt destaca ainda que a lista contém “entre outras coisas, ‘todas as palavras da base de dados da Wikipedia’ e palavras da coleção de e-books gratuitos do Projeto Gutenberg”.

Essas listas podem ser utilizadas em ataques que tentam descobrir senhas testando numerosas combinações em sequência, por exemplo. Mas isso não quer dizer que todas elas correspondem a senhas em uso.

Cuidados básicos continuam valendo

A única serventia que esse alarmismo todo pode ter — se é que convém extrair alguma utilidade disso — é lembrar que os cuidados básicos com senhas continuam válidos.

Criar senhas que combinam letras maiúsculas e minúsculas com números e caracteres especiais é um dos cuidados mais importantes, bem como evitar o uso da mesma combinação em mais de um serviço.

Tão importante quanto é habilitar a autenticação em dois fatores (2FA) em todos os serviços que oferecerem essa opção.

Se estiver tudo ok com a maneira como você lida com esse aspecto, não, não é necessário correr para mudar todas as suas senhas por causa desse tal de RockYou2021.

Fonte