10% das antigas senhas vazadas do twitter funcionam no Instagram

Vou me aprofundar nessa questão e estender esse post quando eu tiver a chance. Por hora, apenas uma observação curiosa: após codar um simples script que tenta logar no Instagram com senhas vazadas de usuários do twitter entre 2011 e 2013, cerca de 10% se mostraram válidas.

Esse rápido teste demonstrou claramente duas coisas:

  • O instagram até implementa alguma proteção contra um número excessivo de logins provenientes do mesmo IP (2 minutos de banimento do IP a cada 150 tentativas falhas de login), mas nesse ritmo um hacker conseguiria testar mais de 100.000 contas/senhas em um único dia. Acredito que o Instagram poderia restringir bem mais. Além disso, eles precisam o quanto antes oferecer uma opção de autenticação em dois fatores.
  • Uma boa parte dos usuários vão sempre reaproveitar suas senhas. Com tantos serviços e redes sociais para gerenciar, escolher uma senha diferente pra cada um e memorizar todas elas se tornou algo inviável. Daí a importância dos gerenciadores de senhas como 1Password ou o gratuito KeePass, que criam senhas randômicas a cada nova conta registrada e preenchem o formulário de login automaticamente. Tomara que essas ferramentas se propaguem cada vez mais rápido.

Leave a Comment.