A segurança digital vive um momento de fragilidade. Segundo uma análise recente da Kaspersky, baseada em centenas de milhões de senhas vazadas, 48% dessas combinações podem ser quebradas em menos de um minuto e 60% em até uma hora. O dado expõe como a combinação de más práticas de criação de senhas com o avanço de hardware e técnicas de ataque reduziu drasticamente o tempo necessário para comprometer credenciais.

O papel do hardware na cibersegurança

A evolução de GPUs de consumo e a facilidade de alugar instâncias potentes na nuvem diminuíram a barreira de entrada para ataques em escala. Em algoritmos de hash rápidos e amplamente presentes em vazamentos antigos (como MD5 e NTLM), placas topo de linha atuais conseguem testar quantidades massivas de combinações por segundo, encurtando o ciclo entre tentativa e acerto. Esse poder computacional, combinado a ferramentas automatizadas, transforma ataques de força bruta e de dicionário em operações eficientes e baratas.

Mesmo quando o hardware de ponta é caro, a computação em nuvem permite acesso temporário a recursos de alto desempenho com custo inicial reduzido — um fator que "democratiza" a capacidade de cracking e amplia o alcance dos cibercriminosos.

Como as senhas são quebradas na prática

Não há uma “reversão” direta de funções de hash criptográfico. O que ocorre é a busca por uma entrada que produza o mesmo hash (ataque de preimage), via força bruta, dicionários e regras que exploram padrões previsíveis de criação de senhas. Crackers combinam bases de senhas previamente vazadas com variações comuns (datas, sequências, substituições como "@" por "a", etc.) para acelerar a descoberta.

A previsibilidade humana é o elo fraco. Quando sistemas armazenam senhas com algoritmos rápidos e sem proteções adicionais adequadas (como salt único por senha e muitas iterações), o tempo para encontrar correspondências cai drasticamente.

Comprimento, complexidade e limites práticos

O estudo destaca que senhas com apenas oito caracteres ficam especialmente expostas. Em cenários com algoritmos de hash rápidos e configurações comuns, elas podem cair em poucas horas — mesmo quando misturam letras, números e símbolos. Já o uso de funções de derivação de chaves mais lentas e parametrizadas (bcrypt, scrypt, Argon2), com custos elevados, aumenta significativamente o esforço e o tempo necessários ao ataque.

Implicações para usuários e empresas

Para o usuário final:

  • Use um gerenciador de senhas para gerar credenciais longas e aleatórias.
  • Ative a autenticação em múltiplos fatores (MFA), preferencialmente por aplicativo ou chave física, evitando SMS quando possível.

Para organizações:

  • Reduza a dependência exclusiva de senhas, adotando MFA obrigatório e políticas de acesso robustas.
  • Armazene senhas com algoritmos resistentes e parametrização forte (salts únicos e alto custo computacional).
  • Avalie a migração para autenticação sem senha (passkeys/FIDO2), baseada em chaves públicas, minimizando o risco inerente a segredos memorizados.

O futuro da autenticação

Com o crescimento contínuo do poder de processamento, a eficácia de senhas tradicionais tende a cair, especialmente quando combinada a padrões humanos previsíveis. A adoção de MFA e, progressivamente, de modelos passwordless, surge como caminho prioritário para mitigar riscos em massa. O monitoramento de novas técnicas de proteção e a padronização de práticas que não dependem da memória humana serão decisivos para equilibrar o jogo.

Com reportagem de Tecnoblog

Source · Tecnoblog