Resumo
- A Kaspersky analisou 231 milhões de senhas vazadas na internet e descobriu que 48% delas podem ser decodificadas em menos de 1 minuto.
- Cerca de 60% levam menos de 1 hora para serem descobertas.
- Segundo a análise da empresa de cibersegurança, a capacidade de processamento das GPUs atuais facilita a descoberta por hackers.
Uma pesquisa feita pela Kaspersky descobriu que 48% das senhas já vazadas na internet podem ser descobertas por hackers em menos de um minuto. Além disso, a empresa de cibersegurança revelou outro dado que chama atenção: considerando um tempo maior para descobrir o código, de até uma hora, 60% das senhas usadas no mundo podem ser acessadas.
Segundo a análise, essa facilidade estaria relacionada à capacidade de processamento das placas de vídeo atuais, utilizadas por hackers para acelerar a quebra e decodificação de senhas.
Os resultados acendem um alerta importante de cibersegurança e reforçam a máxima: não dá mais para confiar apenas nas palavras-chave como recurso máximo de proteção para seus dados.
Para chegar nesses números, a Kaspersky analisou 231 milhões de códigos entre 2023 e 2026, e apenas 23% delas se mostraram seguras o suficiente, ou seja, dariam aos hackers um ano inteiro de trabalho para serem descobertas.
Placas de vídeo mais potentes aceleram quebra de senhas
O estudo atribui esse aumento na vulnerabilidade ao avanço das placas de vídeo usadas nos testes. Na edição anterior, publicada em 2024, a análise utilizava a GeForce RTX 4090, da Nvidia. Agora, os pesquisadores adotaram a RTX 5090, cuja capacidade de quebrar o algoritmo MD5 cresceu 34%, atingindo 220 bilhões de hashes por segundo.
Vale explicar que hash, no caso, é uma função matemática que transforma a sequência de carácteres formada pela sua senha em um novo padrão codificado. E, conforme explica um artigo da Avast, MD5 é o algoritmo que gera esses hashes no processo de criptografia. Ou seja: o processo reverso de leitura e compreensão dessas funções para chegar à sequência original ficou bem mais rápida com a placa mais recente.
Pode parecer algo simples de “resolver”: nem todo hacker teria acesso a uma GPU top de linha como essa, que sai a, pelo menos, R$ 21.999 no e-commerce nacional. Ainda assim, a Kaspersky reforça a facilidade com que se pode ter acesso a esse poder de processamento por meio de serviços na nuvem, com aluguel bem mais barato por um tempo curto de uso.
Na prática, isso reduz a barreira para ataques automatizados. Se menos de um minuto já seria suficiente para quebrar quase metade das senhas analisadas — e uma hora bastaria para atingir 60% delas —, não seria necessário investir diretamente em uma placa topo de linha para quebrar as senhas.
Outro ponto levantado foi o esforço feito durante um ataque: ao conseguir decodificar uma senha, alguns padrões utilizados pelo algoritmo MD5 podem se repetir em muitas outras, facilitando a vida do hacker que faz essas tentativas com um grande número de contas como alvo e até justificando o uso de um processamento tão poderoso de uma vez só.
Como proteger a minha senha?
Além do alerta em si, a Kaspersky explica quais fatores contribuem para a vulnerabilidade das senhas. Sequências criadas por humanos, por exemplo, são mais previsíveis e até mesmo aquelas feitas por meio de uma inteligência artificial generativa podem ser descobertas mais facilmente, já que é possível identificar traços humanos no processo criativo.
O fator mais determinante para dificultar a quebra na hora de decodificar foi o tamanho das senhas. Segundo a Kaspersky, 24 horas são suficientes para decifrar praticamente todas as sequências de oito caracteres, por exemplo.
Para reforçar a segurança das senhas, o estudo sugere:
- usar um gerenciador que crie sequências aleatórias;
- não anotar senhas em arquivos de texto;
- evitar o salvamento automático em navegadores;
- fazer atualizações periódicas automaticamente.
Esse último fator é, inclusive, determinante para uma segurança maior, chamado na pesquisa de “higiene digital”.
A principal dica, no entanto, é ativar recursos de autenticação em dois fatores, de preferência utilizando um aplicativo de autenticação como Google Authenticator, Authy e Yandex ID.
Apesar da possibilidade de fazer isso por códigos enviados via e-mail ou SMS, por exemplo, a dica é recorrer a esses apps, que geram sequências aleatórias e podem ficar disponíveis em todos os seus dispositivos.