Credential stuffing: os perigos da reutilização de senhas

O credential stuffing é um tipo de ataque cibernético que se aproveita do mau hábito dos usuários de reutilizar senhas; por isso, é preciso ser consciente no momento de escolher a sua combinação de segurança.

Nossas senhas são essenciais para proteger todo e qualquer tipo de serviço digital que utilizamos: desde nossas contas bancárias até apps de streaming e de delivery.

Conforme aumenta o número de contas e serviços online que utilizamos, a tendência é que utilizemos a mesma senha para vários sites, visando facilitar a memorização. E é justamente essa prática que torna o golpe do credential stuffing possível e tão perigoso.

Os perigos de usar a mesma senha em várias contas

Imagine que, infelizmente, uma de suas senhas se tornou pública através de um vazamento de dados. O que é pior e oferece mais riscos: ter uma única conta comprometida e ter que trocar apenas uma senha, ou ter várias contas comprometidas e ter que se desdobrar para lembrar em quais serviços reutilizou aquela senha vazada?

A resposta é bem clara, né? A prática aparentemente inocente e tão comum de reutilizar senhas pode gerar muita dor de cabeça e, claro, prejuízos financeiros graves.

Nos próximos tópicos desse texto, você entenderá como funciona o credential stuffing e como você pode utilizar senhas únicas sem depender apenas da memória para gravá-las.

O que é e como funciona o credential stuffing?

Credential stuffing, em tradução livre do inglês, significa “preenchimento de credenciais” e é um tipo de golpe de invasão de contas que se aproveita justamente da reutilização de senhas. Nesse golpe, criminosos coletam credenciais vazadas, como nomes de usuário e e-mails com as senhas correspondentes. Com ferramentas de automação, eles testam esses dados em vários serviços digitais. Dessa forma, se a senha vazada é utilizada em vários serviços, o estrago causado pelos criminosos é muito maior, já que eles terão acesso a todas essas contas.

E não é apenas a invasão de contas bancárias que pode gerar perdas financeiras, ok? Mesmo que muitas das contas acessadas não tenham valores em dinheiro para serem roubados, a maioria dos serviços online armazena dados financeiros, como o número do cartão de crédito, que pode ser usado pelos criminosos para futuras compras se passando pela vítima.

Portanto, todas as nossas contas digitais merecem muito cuidado e atenção.

Como se proteger do credential stuffing?

Sim, é possível evitar o credential stuffing sem ter que contar apenas com a memória. Siga as dicas abaixo para manter suas contas seguras contra esse tipo de ataque.

Senha sugerida: a maior parte dos serviços, como redes sociais e streamings, oferece uma sugestão de senha única no momento em que você está criando sua conta. É altamente recomendado aceitar essa sugestão. E para não ter que decorar a senha, você pode usar um gerenciador de senhas!

Gerenciador de senhas: aceitando ou não a senha sugerida pelos serviços digitais, o gerenciador de senhas é seu maior aliado para utilizar senhas únicas e seguras! Os gerenciadores são apps que armazenam os dados de login e senha de cada conta. Com ele, você tem um método seguro de armazenamento de senhas e nunca mais precisará repetir os dados de acesso em mais de uma conta.

Autenticação em dois fatores: a autenticação em dois ou múltiplos fatores acrescenta uma camada extra de proteção para suas contas. Praticamente todos os serviços digitais oferecem essa opção nas configurações de conta ou de privacidade. Dessa forma, mesmo que criminosos tenham acesso a seu login e senha, eles serão barrados.

Seguindo todas essas dicas, as chances de ser vítima de um golpe de credential stuffing é infinitamente menor!

Produção: Equipe de Conteúdo da Perallis Security

Referências: Qual o problema em usar a mesma senha em vários serviços? | WeLiveSecurity | Credential stuffing | Saiba como se proteger contra essa ameaça (hscbrasil.com.br)

Conteúdo relacionado: Hacker Rangers - Gamificação para conscientização em cibersegurança