Adivinhação de senha (também abreviado PG-ing, e / ou suas variantes) é uma forma de hacking de segurança envolvendo o processo de roubo de senhas de dados que foram armazenados ou transmitidos por um sistema de computador. Uma abordagem comum é tentar suposições repetidamente para a senha e compará-los com um hash criptográfico disponível da senha, que é conhecido como força bruta.
Os motivos para adivinhar a senha podem ser ajudar um usuário a recuperar uma senha esquecida (a criação de uma senha totalmente nova é menos um risco de segurança, no entanto) ou obter acesso não autorizado a um sistema. No caso do Roblox, a adivinhação de senha é usada para obter acesso a contas que não pertencem ao adivinhador, após o que eles podem sequestrar a conta com intenção pessoal ou maliciosa, roubar seus itens Robux / limitados ou até mesmo banir a conta. Contas hackeadas são chamadas de comprometido (muitas vezes encurtado para comped) A adivinhação de senha é proibida pelas Diretrizes da comunidade da Roblox, o que significa que a (s) conta (s) de um usuário pode (m) ser banida (s) se for descoberta a adivinhação de senha por outros jogadores.
Em uma tentativa de combater o PGing, Roblox irá banir automaticamente uma conta que foi logada após ficar inativa por um número arbitrário de anos [carece de fontes?], E só irá cancelar o banimento se o usuário puder fornecer prova de propriedade da conta. Essa medida se mostrou polarizada entre a base de usuários. Alguns o veem como uma necessidade efetiva para conter o roubo de contas, outros o veem como excessivamente rígido com os proprietários originais que perderam o acesso a um endereço de e-mail anterior vinculado a essa conta. Ele também não leva em consideração os proprietários de contas originais que dão ou vendem contas para terceiros, o que também viola as Diretrizes da comunidade da Roblox.
Conteúdo
- História 1
- 1.1 2016
- 2 alvos prioritários
- 3 Prevenção
- 4 notas
- Referências 5
História
A adivinhação de senha tem sido um problema constante ao longo da história da Roblox e vários eventos influenciaram quando a adivinhação de senha foi utilizada.
2016
Artigo principal: Violação de segurança Roblox 2016Algumas contas criadas em setembro de 2006 ou antes foram solicitadas a alterar suas senhas depois que a Roblox anunciou que um jogador obteve acesso não autorizado a um site de teste que continha informações "limitadas" do usuário em 2016; mais tarde, esse incidente motivou a Roblox a implementar um recurso de autorização de dois fatores. [1]
Alvos prioritários
Embora os adivinhadores de senha possam ter uma variedade de motivos para fazer isso, os seguintes são considerados os tipos de usuários mais priorizados
- Desenvolvedores de jogos de sucesso (principalmente aqueles com jogos de primeira página)
- Usuários ou suas contas alternativas com extrema riqueza em Robux ou itens limitados
- Contas populares de YouTubers, especialmente aquelas no programa Roblox Video Stars ou suas contas alternativas
- Usuários que possuem grupos populares de qualquer tipo
- Designers de roupas renomados
- Contas antigas (geralmente anteriores a 2012) e usuários com nomes cortados
- Usuários com itens raros em liquidação ou aqueles que possuem a única cópia de um determinado item
- Usuários com números de ID 'especiais' ou aqueles que possuem grupos com IDs de grupos especiais (por exemplo, Azoo5573, o bilionésimo usuário)
- Administradores Roblox
- Usuários falecidos
Prevenção
A adivinhação de senha continua sendo um problema comum no Roblox, portanto, os usuários devem tomar medidas para evitar que isso aconteça com eles. Uma senha forte é um dos melhores métodos para evitar que a conta do usuário seja violada, e a seguir estão as diretrizes para a criação de senhas fortes, bem como métodos para manter sua senha e conta seguras. Muitas dessas dicas não são exclusivas da Roblox e podem ser úteis em outros sites com relação à segurança cibernética do usuário:
- As senhas não devem conter nenhuma informação facilmente identificável, como seu nome Roblox, seu aniversário ou outras informações facilmente conhecidas. Evite usar algumas das senhas mais comuns, como "senha" (o Roblox não permite mais isso a partir de uma data desconhecida), "1234567", "roblox123", "abc123" ou "qwerty". [2]
- Criar uma senha longa. As senhas devem ter pelo menos 8 caracteres e incluir letras maiúsculas, letras minúsculas, números e símbolos especiais, se possível. Evite ter padrões na senha, como "12345678", que geralmente são analisados primeiro por adivinhadores de senha. [3] Se o usuário não conseguir criar sua senha, é altamente recomendável usar geradores de senha e salvá-la em algum lugar do arquivos de computador do usuário ou gerenciadores de senha.
- Evitando palavras comuns. A melhor senha é uma confusão de caracteres. l33t sp33k é mais forte do que caracteres de texto normais, mas ainda deve ser evitado, pois o software é mais facilmente capaz de identificar l33t sp33k. [3] A melhor maneira de criar uma senha é pensar em uma frase e abreviá-la. [4] Por exemplo, a frase Shedletsky come frango frito todos os dias. Yum Yum! pode ser abreviado como sefcedyy. Adicionar letras maiúsculas, números e caracteres especiais cria uma senha como $ 3fCed_Y & y !. Alternativamente, várias palavras simples aleatórias (conhecidas como frase-senha) com espaços entre elas, como 'papel de manta verde' também podem ser surpreendentemente eficazes e fáceis de lembrar (um desses métodos é Diceware). Sites como o How Secure Is My Password são uma ótima ferramenta para ver o quão forte é a senha do usuário e melhorá-la de acordo. O usuário deve tentar evitar o uso de palavras de dicionário também, porque os hackers têm um software que usa senhas de dicionário de força bruta.
- Manter a senha exclusiva para Roblox.com. Dessa forma, se ocorrer uma vulnerabilidade de segurança em outro site (como um site de fã sobre Roblox), a conta Roblox do usuário tem menos probabilidade de ser ameaçada por PGers que usam a senha do site de fã para tentar acessar sua conta Roblox. Se eles usarem a mesma senha para todos os sites, no caso de uma pessoa ter violado a conta da vítima, eles basicamente terão acesso a todas as contas digitais que a vítima possui. [3] [5]
- Usando um gerenciador de senhas. Um gerenciador de senhas típico permitirá que o usuário crie uma conta para armazenar todos os seus detalhes de login para cada site que usa separadamente em uma conta mestre, e também pode permitir que eles gerem senhas longas e aleatórias para cada site e depois salvá-las para serem automáticas - preencheu o próximo horário que eles querem fazer login. O único problema é que o usuário tem que se certificar de que se lembrará dos detalhes da própria conta principal (anotar o nome de usuário e a senha em algum lugar é um bom método) e também garantir que sua senha pois a conta mestre não é fraca.
- Nunca compartilhe a senha com ninguém. O usuário não deve inserir suas informações de login do Roblox em qualquer site que não seja o Roblox.com. A equipe e os jogos do Roblox nunca pedem sua senha, e qualquer pessoa que peça isso é uma farsa. O usuário nunca deve compartilhar nenhuma informação do navegador Roblox, como seu cookie ROBLOSECURITY. Se estiverem usando um computador compartilhado, como em uma escola ou biblioteca, eles não devem permitir que o navegador da Web salve suas informações de login ou evitar o login em qualquer site, se possível. [5] Por precaução, o usuário pode querer dizer a um responsável ou pai de confiança se ele esquecer a senha, como uma alternativa aos gerenciadores de senha. Finalmente, eles devem garantir que estão atualizados com o conhecimento dos golpes mais recentes e não se apaixonam por eles.
- Tenha cuidado ao baixar extensões Roblox. Alguns aplicativos e extensões de navegador podem roubar informações de login ou injetar malware no computador do usuário.
- Sempre desconectando quando o usuário terminar de jogar. Existe a possibilidade de que se alguém roubar o computador, telefone, tablet ou qualquer coisa que tenha suas informações Roblox (ou qualquer outro site) do usuário, ele deve alterá-lo imediatamente e sair de todas as outras sessões em sua conta usando outro dispositivo. Existe a possibilidade de o ladrão entrar no dispositivo, iniciar o Roblox e roubar a conta da vítima, portanto, devem ser tomadas medidas para evitar isso o mais rápido possível. No entanto, eles devem garantir que os sites mais importantes sejam protegidos primeiro, como seus e-mails, mídias sociais, serviços bancários e outros detalhes importantes antes do Roblox.
- Verificar seu e-mail e habilitar a verificação em duas etapas. Quando a verificação em duas etapas está ativada, toda vez que sua conta é conectada a partir de um novo local, Roblox exigirá que o jogador insira um código enviado para o e-mail da conta antes de autorizar o login. Isso também permite que o usuário saiba se sua senha foi adivinhada e se precisa criar uma senha mais forte. Esta é uma das melhores formas de segurança da conta, porque o hacker também deve obter acesso à senha da vítima e ao seu endereço de e-mail antes de poder fazer login com sucesso na conta da vítima, mesmo que possa ser contornado obtendo seu cookie ROBLOSECURITY. [5]
- Ativando um PIN de conta. Quando um PIN de conta é ativado, toda vez que uma configuração como nome de usuário, senha, data de nascimento, e-mail, número de telefone ou autorização de dois fatores ou ativação de PIN é alterada, Roblox solicitará um PIN predefinido antes que as alterações sejam ativado. Isso evita que usuários não autorizados alterem as configurações da conta se não souberem o PIN.
Notas
- Uma senha fácil de lembrar geralmente também é fácil para um invasor adivinhar. Senhas difíceis de lembrar reduzem a segurança de um sistema porque
- (A) os usuários podem precisar anotar ou armazenar eletronicamente a senha usando um método não seguro,
- (B) os usuários precisarão de redefinições de senha frequentes
- (C) os usuários são mais propensos a reutilizar a mesma senha.
Da mesma forma, quanto mais rigorosos forem os requisitos de força da senha, por exemplo, "misture letras maiúsculas e minúsculas e dígitos" ou "altere-a mensalmente", maior será o grau em que os usuários subverterão o sistema.
- Em "The Memorability and Security of Passwords", Jeff Yan et al. examina o efeito do conselho dado aos usuários sobre uma boa escolha de senha. Eles descobriram que as senhas baseadas no pensamento de uma frase e pegando a primeira letra de cada palavra são tão memoráveis quanto as senhas selecionadas ingenuamente e tão difíceis de decifrar quanto as senhas geradas aleatoriamente. Combinar duas palavras não relacionadas é outro bom método. Ter um "algoritmo" projetado pessoalmente para gerar senhas obscuras é outro bom método. Nas melhorias mais recentes, mais e mais pessoas estão percebendo uma mudança na forma como as senhas são protegidas.
- No entanto, pedir aos usuários para lembrar uma senha que consiste em uma "mistura de caracteres maiúsculos e minúsculos" é semelhante a pedir que eles se lembrem de uma sequência de bits: difícil de lembrar e apenas um pouco mais difícil de quebrar (por exemplo, apenas 128 vezes mais difícil de crack para senhas de 7 letras, menos se o usuário simplesmente colocar uma das letras em maiúscula). Pedir aos usuários que usem "letras e dígitos" geralmente leva a substituições fáceis de adivinhar, como 'E' → '3' e 'I' → '1', substituições bem conhecidas dos invasores. Da mesma forma, digitar a senha uma linha do teclado acima é um truque comum conhecido pelos invasores.
- Uma pesquisa detalhada em um artigo de abril de 2015 por vários professores da Carnegie Mellon University mostra que as escolhas das pessoas quanto à estrutura de senha geralmente seguem vários padrões conhecidos. Como resultado, as senhas podem ser decifradas com muito mais facilidade do que suas probabilidades matemáticas indicariam. As senhas contendo um dígito, por exemplo, o incluem desproporcionalmente no final da senha.
- A chance de adivinhar uma senha de 8 dígitos é de 1 em 2.1834 Quintilhões (2.1834E + 15), tornando extremamente raro adivinhar a senha de alguém. As chances de adivinhar uma senha gobbledygook (sequência aleatória de números, letras e símbolos) são conhecidas como 1 em 6.09569 Quintilhões (6.09569E + 15).
Referências
- ↑ Roblox. (2016). Atualização de segurança. Roblox Blog. Obtido em https://blog.roblox.com/2016/08/security-update/
- ↑ Koshevoy Dmitry. (2018). Lista de senhas mais comuns. Obtido em: http://www.passwordrandom.com/most-popular-passwords
- ↑ 3.0 3.1 3.2 Kim Komando. (2015). Como criar uma senha forte. EUA hoje. Obtido em https://www.usatoday.com/story/tech/columnist/komando/2015/05/15/strong-passwords/27240877/
- ↑ pzdupe2. (2016). Um hacker me disse como fazer uma senha super forte da qual consigo me lembrar. Business Insider. Obtido em http://www.businessinsider.com/hacker-strong-password-2016-4
- ↑ 5.0 5.1 5.2 Lilly_S. (2017). PSA: mantenha sua conta segura. Fóruns de desenvolvedores Roblox. Obtido em https://devforum.roblox.com/t/psa-keep-your-account-safe/65430.