As passwords são cada vez mais fáceis de adivinhar. Quem o diz é um grupo de investigadores de três universidades – Pequim, Fujian Normal (China) e Lancaster (Reino Unido) – que criou um sistema que o consegue fazer em 73% dos casos. Chamaram-lhe TarGuess. O objectivo é adivinhar as palavras-passe baseando-se em informações de utilizadores específicos e recorrendo a sete fórmulas matemáticas. E tudo sem ultrapassar o limite de tentativas imposto como medida de segurança em vários sites.  

A password mais popular é “123456”, mas também é a pior – por ser uma escolha tão óbvia. O que este grupo de investigadores veio revelar é que os sistemas de segurança estão cada vez mais enfraquecidos e que, por isso, é necessário criar palavras-passe mais sofisticadas. 

O TarGuess tem uma taxa de eficácia de 73% para passwords "simples" (as que só utilizam letras e algarismos, ou são informações comuns como datas de nascimento) e de 32% para as mais sofisticadas (as que incluem caracteres especiais como a arroba ou o underscore). É precisamente este último dado que preocupa os investigadores. Por enquanto, os hackers adivinham as palavras-passe manualmente, mas torna-se difícil prever o que acontecerá quando puderem usar formas automáticas. Nesse cenário, nem as senhas mais complicadas poderão estar a salvo.

Os sistemas automáticos como o TarGuess recorrem a informação sobre utilizadores específicos que se encontra facilmente na web: nomes dos pais, do animal de estimação ou o sítio onde passam férias.

O sistema foi testado num cenário real: a prova de fogo consistiu em tentar adivinhar as passwords antes de o site bloquear as tentativas e a conta do utilizador. Trabalhando com padrões, sete fórmulas matemáticas e as chamadas “senhas-irmãs” (dados filtrados depois dos ataques a contas e sites como o Yahoo), os investigadores concluíram que a eficácia deste sistema é muito superior à de outros.

A equipa de investigadores pretende que este trabaho alerte a população para a necessidade de alguma criatividade na altura de escolher as palavras-passe – online e offline. “Acreditamos que os novos algoritmos e o conhecimento da eficácia dos modelos dirigidos [criados para adivinhar a password de um utilizador específico] podem criar uma maneira diferente de olhar para as práticas existentes [de escolha de palavras-passe] e para a investigação futura sobre passwords", dizem os autores, citados pela Alphr. 

Texto editado por Hugo Torres