Um recente relatório da Cloudflare trouxe à tona um problema persistente mesmo após anos de alertas: a reutilização de senhas. Entre setembro e novembro de 2024, 41% dos logins bem-sucedidos detectados em sites protegidos por essa plataforma foram realizados com credenciais previamente expostas em vazamentos de dados.
Esse dado revela não apenas uma falta de conscientização entre os usuários, mas também a crescente sofisticação dos ataques automatizados que exploram essas más práticas.
A ameaça silenciosa: bots e ataques em massa
O estudo destaca que 95% das tentativas de acesso com senhas vazadas provêm de bots, que executam ataques em massa conhecidos como credential stuffing. Esses bots testam credenciais roubadas em diversos serviços até encontrar combinações válidas. A automação e a escala desses ataques tornam qualquer usuário que reutiliza uma senha vulnerável em questão de minutos.
Plataformas como WordPress concentram grande parte desses ataques, devido à sua popularidade e facilidade de identificação. Nos sites baseados em WordPress, 76% das tentativas com senhas vazadas resultaram em acessos bem-sucedidos, e quase metade foram realizadas por bots.
Senhas que as pessoas continuam usando (e reutilizando)
O relatório da Cloudflare não apenas aponta a magnitude do problema, mas também destaca os padrões comuns de más práticas. Entre as senhas mais reutilizadas e comprometidas estão combinações previsíveis e fáceis de adivinhar, como:
- 123456
- senha
- qwerty
- 123456789
- 111111
- abc123
- eu te amo
- admin
- 123123
- bem-vindo
Esses exemplos refletem o que os especialistas chamam de “senhas preguiçosas”, usadas por milhões de pessoas em múltiplos serviços e que são as primeiras a serem testadas pelos atacantes.
Por que isso ainda acontece?
A comodidade e o esquecimento estão por trás da maioria desses erros. Gerenciar senhas fortes e únicas para cada serviço pode parecer desafiador, mas ferramentas de gestão de senhas e soluções de autenticação sem senha (como as passkeys) facilitam essa tarefa.
Além disso, embora muitos usuários estejam cientes do risco, não tomam medidas até se tornarem vítimas de um ataque. Essa inércia representa um risco tanto a nível individual quanto empresarial.
A solução: educação, tecnologia e prevenção
Para se proteger, os usuários devem:
- Criar senhas únicas e robustas para cada conta.
- Usar gerenciadores de senhas para evitar a necessidade de memorizá-las.
- Ativar sempre a autenticação multifator (MFA).
- Alterar senhas comprometidas assim que receberem alertas.
Por sua vez, as empresas devem ativar sistemas de detecção de credenciais vazadas, bloquear tentativas em massa por meio de rate limiting e gerenciar o tráfego suspeito com ferramentas anti-bots. Também é crucial educar seus usuários e funcionários sobre as boas práticas em cibersegurança.
A cibersegurança começa com uma senha
A conclusão é clara: a reutilização de senhas continua sendo a porta de entrada para ataques automatizados e tomadas de controle de contas. A tecnologia pode criar barreiras, mas a primeira linha de defesa ainda é a conscientização do usuário e a mudança de hábitos.
Se 41% dos acessos ainda utilizam senhas comprometidas, é evidente que há muito a ser feito. A segurança, afinal, começa com um gesto tão simples quanto escolher uma boa senha e nunca reutilizá-la.
