Adobe: senhas roubadas não tinham hash, somente criptografia simétrica

De acordo com o site CSO Online, a Adobe confirmou as informações divulgadas na sexta pela Arstechnica de que as senhas roubadas estavam protegidas com criptografia simétrica e não com hash+salting. Na prática isto significa que a base de 130 milhões de senhas roubadas pode ser atacada para tentar decriptar estas senhas.

Logo of Adobe Systems Incorporated (Photo credit: Wikipedia)

O uso de salted hash em senhas é uma melhor prática recomendada por toda a indústria de segurança para reduzir as chances de sucesso em tentativas de quebra de senha, já que algoritmos de hash não são reversíveis.

A Adobe protegia as senhas somente via 3DES usando a mesma chave para criptografar todas as senhas. Com base em senhas fornecidas por usuários ou explicitadas nos “lembretes de senha”, Jeremi Gosney do  Stricture Consulting Group compilou uma lista com a estimativa das 100 senhas mais comuns dos usuários da Adobe.

Tudo isto colabora para aprimorar as técnicas de quebra de senha, e aumenta o risco potencial para clientes ativos ou não da Adobe. Das 130 milhões de senhas vazadas, somente 38 milhões são de clientes ativos, mas dado que muitas vezes os usuários reutilizam as mesmas senhas para outros serviços, uma quebra das senhas da Adobe pode ter resultados desastrosos.

Quer saber mais sobre melhores práticas em gerenciamento de senhas? Reveja o webinar  que a Leverage apresentou sobre o tema.