Na última quinta-feira (15), a Google verificou por meio da ferramenta Password Checkup a quantidade de usuários que teve as senhas vazadas em páginas da web e ainda continuavam acessando a conta sem saber disso. Dentre 21 milhões de pessoas analisadas, 316 mil estavam nessa situação, o correspondente a 1,5% do total de usuários.
Basicamente, a proposta do Password Checkup é a seguinte: verificar se as senhas do usuário foram divulgadas em alguma página mal-intencionada, destinada à violação de dados. Caso isso tenha ocorrido, o próximo passo é notificar a pessoa que tiver as senhas espalhadas por aí. A princípio, a ferramenta é uma extensão do Chrome, mas a empresa planeja tornar um recurso diretamente integrado no navegador. Além disso, o plúg-in exibe um aviso sempre que alguém faz login em um site usando um dos mais de 4 bilhões de nomes de usuários e senhas que a empresa sabe que não são seguros devido a uma violação de dados de terceiros. Desde o lançamento, mais de 650 mil participaram do experimento inicial.
A empresa anuncia em seu blog oficial destinado à segurança que os invasores costumam fazer login em sites da web com todas as credenciais expostas por uma violação de terceiros. O risco desaparece se o usuário usa senhas fortes e exclusivas para todas as contas. “Com base na telemetria anônima informada pela extensão Password Checkup, descobrimos que os usuários reutilizaram credenciais violadas e inseguras para algumas de suas contas financeiras, governamentais e de e-mail mais confidenciais”.
A Google diz também que esse risco prevaleceu em sites de compras (onde os usuários podem salvar detalhes de cartão de crédito), notícias e sites de entretenimento. “De fato, fora dos sites mais populares, os usuários têm 2,5 vezes mais chances de reutilizar senhas vulneráveis, colocando sua conta em risco de sequestro”.
Por fim, a pesquisa realizada pela empresa mostra que em 26% dos casos, os usuários optam por redefinir as senhas inseguras sinalizadas pela extensão Password Checkup. Além disso, 60% das novas senhas são seguras contra ataques de adivinhação – o que significa que um invasor levaria mais de cem milhões de tentativas antes de identificar uma delas.
Fonte: Canaltech