Cewl

As senhas continuam sendo um ponto crítico na interseção entre usabilidade e segurança. Embora controles de autenticação sejam implementados para fortalecer a segurança, eles frequentemente introduzem complexidade, levando os usuários a optarem por padrões familiares em vez de credenciais verdadeiramente imprevisíveis. Isso resulta em senhas que muitas vezes derivam da linguagem específica da organização. Os atacantes têm explorado esse comportamento, utilizando ferramentas como o CeWL, que coleta palavras de sites para criar listas de senhas altamente direcionadas. O NIST SP 800-63B recomenda evitar palavras específicas do contexto, mas a implementação dessa orientação exige compreensão sobre como os atacantes operam. A análise de mais de seis bilhões de senhas comprometidas revela que muitas senhas geradas ainda atendem aos requisitos de complexidade, mas permanecem fracas devido à sua construção a partir de termos organizacionais familiares. Para mitigar esses ataques, é essencial bloquear senhas derivadas de contextos conhecidos, exigir frases de senha longas e implementar autenticação multifator (MFA). Essas medidas não apenas melhoram a segurança, mas também refletem a realidade dos ataques a senhas.