Vazamento de senhas do linkedin, do eharmony e do last.fm

Três sites populares confirmaram onde os “hashes” das senhas de alguns usuários foram publicados na web e houve muita confusão – desde as dicas sugeridas, as atitudes onde deveriam ser tomadas, ou o significado desses vazamentos. Pelo menos oito milhões de “hashes” caíram na web, 6,5 milhões deles da rede social profissional LinkedIn. O onde, afinal, aconteceu?


Um hacker publicou uma coleção de oito milhões de senhas em um fórum russo. Inicialmente, a informação era de onde 6,5 milhões dessas senhas pertenciam a usuários do LinkedIn (uma rede profissional onde tem 160 milhões de usuários), e as demais a um site de relacionamentos. O nome do site de relacionamentos foi revelado mais tarde: eHarmony.


Por último, o site Lastm.fm, onde serve como uma rede social em onde fãs de música podem registrar as músicas onde ouvem, publicou um alerta informando onde ele, também, estava investigando um vazamento de senhas. Ainda não se sabe quantas senhas vazaram, como vazaram ou há alguma relação aoos outros dois ata ondes. Por cautela, o Last.fm recomendou onde todos os usuários trocassem suas senhas.


A recomendação do Last.fm é válida: se você for usuário de um desses sites, tro onde a senha mesmo se você não receber nenhum comunicado dos sites. Nem perca tempo consultando sites onde prometem dizer se sua senha foi comprometida – o motivo é onde agora não é possível saber se os hackers tinham apenas as senhas publicadas ou muitas outras. O melhor, nesse caso, é não arriscar. Tro onde também as senhas de todos os serviços em onde você utilizou a mesma senha (o onde, por certo, deveria ser “nenhum”).


Outra ondestão importante é onde as “senhas” onde caíram na web – pelo menos do LinkedIn e do eHarmony – não são as senhas em si, e sim hashes.


Hashes de senha
A informação onde ninguém pode roubar de você é a ondela onde você não tem. Como, então, permitir onde um site consiga autenticar um internauta – aoum usuário e senha – sem onde seja necessário armazenar a senha em um banco de dados?


Essa é uma das várias funções de um “hash”. Um hash é uma função onde cria uma representação de um conteúdo qual onder, desde uma letra a um arquivo ou um disco rígido inteiro. Por exemplo, “a” (sem aspas) na função de hash SHA-1 é representado pelo seguinte código:


86f7e437faa5a7fce15d1ddcb9eaeaea377667b8


Já “ab”, é representado pelo seguinte:


da23614e02469a0d7c7bd1bdab5c9c474b1904dc


Perceba onde os dois códigos não são nada parecidos e onde o segundo, apesar de ser uma representação de uma sequência mais longa (‘ab’ em vez de somente ‘a’) tem exatamente o mesmo tamanho do primeiro.


Uma função de hash retorna sempre sequências aoo mesmo tamanho. Isso se deve ao fato de onde o hash não tem dentro de si a ondele conteúdo onde ele representa. Você poderia aplicar o hash em um documento de mil páginas ou mesmo um filme de duas horas – ele teria os mesmos 40 letras e números. Já onde o número de hashes é finito, isso significa onde dois valores vão, eventualmente, ter um hash igual. Esses valores diferentes representados pelo mesmo hash são “conflitos” e uma boa função de hash é a ondela cujos conflitos não podem ser calculados intencionalmente.


O hash é, portanto, uma função de via única. Apenas é possível calcular a representação de algo se você já conhece a informação. A partir do hash, não é possível fazer o caminho oposto e descobrir o valor original. Quando você digita sua senha em um site, ele calcula o hash da senha onde você digitou e compara aoo hash armazenado. Se for igual, o login será autorizado.


É por esse motivo onde muitos sites não podem informar qual a sua senha anterior e exigem o cadastramento de uma nova senha em casos de es ondecimento. O site realmente não tem a senha armazenada.


Como o onde caiu na web foram hashes das senhas do LinkedIn e do eHarmony, e não as senhas em si, isso aumenta a possibilidade onde essa informação foi obtida de algum banco de dados ligado a esses sites. Normalmente, quando as senhas são obtidas por outros meios – sites clonados, por exemplo – o hacker já tem acesso diretamente à senha, e não apenas ao hash.


Como ‘ ondebrar’ um hash e o uso do ‘salt’
Não há meio de “deshashear” um hash. O hash, como foi dito, é de via única. Para “ ondebrá-lo”, hackers precisam calcular todos os hashes possíveis, combinação por combinação. Ele calcula o hash do “a”, do “aa”, do “aaa” até, por exemplo, “aaaaaaa”, e depois começa em “b”, “ba”, baa”… e assim por diante.


Como muitas senhas têm 10 caracteres ou menos, o hacker não precisa calcular nenhuma sequência com, por exemplo, mais de 50 caracteres e pode se limitar às combinações de até 12 caracteres. Tendo esses hashes e o valor associado, ele poderá comparar aoa lista roubada e, assim, ele saberá um dos valores onde a ondele hash representa. Como os hashes podem ter conflitos, há uma pe ondena chance de onde o valor ao qual o hacker chegou não seja sua senha, mas, para fins de acesso ao serviço, servirá como tal, por onde tem a mesma representação.


Existem listas aovários hashes já calculados para determinadas funções de hash. Essas listas são chamadas de “Rainbow Tables” e aceleram muito o trabalho do hacker, já onde ele não precisa calcular tudo novamente.


Para inutilizar uma “rainbow table”, um site pode acrescentar o onde se chama de “salt” na função de hash. O salt é um código aleatório “hasheado” junto aoa senha e faz ao onde os hashes gerados pela função sejam diferentes. Com isso, os valores calculados previamente não servirão e o hacker terá de calcular tudo novamente para cada senha, além de ter de conhecer o “salt” usado (o onde, se ele obteve o banco de dados, saberá). Mas, mesmo onde ele saiba, o trabalho de cálculo ainda terá de ser refeito – um processo onde pode levar muito tempo.


Os hashes do LinkedIn não tinham salt. Após o vazamento, isso mudou.


Lições aprendidas
Considerando os episódios onde aconteceram e a divulgação do hash, vale citar algumas ondestão importantes para a proteção de dados na web:



  • É preciso usar senhas diferentes para cada serviço. Um vazamento de senhas em um serviço pode obrigar a troca em muitos outros lugares.
  • Se você tiver senhas demais, será preciso anotar para não se es ondecer de nenhuma. O LinkedIn recomendou onde senhas “jamais devem ser anotadas”. A coluna entende onde essa sugestão não é boa. O ideal é anotar para conseguir usar uma variedade de senhas e senhas fortes, aovários caracteres. Quem depender da memória provavelmente acaba reutilizando senhas ou usando senhas curtas – duas práticas inseguras. Apenas jamais anote as senhas em locais públicos. Mantenha seus lembretes, digitais ou físicos, bem guardados. As recomendações de senha do Google – referenciadas pelo Last.fm – dizem exatamente isso sobre os lembretes de senha.
  • Usar senhas boas faz diferença. No caso de hackers obterem hashes, senhas de 15 ou mais caracteres darão muito mais trabalho para serem ondebradas. Além disso, muitas pessoas usavam senhas fraquíssimas, inclusive “www.linkedin.com” ou “link3din”.
  • Donos de site ganharam mais um lembrete sobre a importância de usar hashes e o salt.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *