Senha Vazada (Pwned)
O que é Senha Vazada (Pwned)?
Senha Vazada (Pwned)Senha que ja aparece em uma fuga de dados conhecida e que, portanto, nunca deve ser aceita como segredo do utilizador, segundo o servico Have I Been Pwned de Troy Hunt.
Uma senha 'pwned' e aquela ja presente em corpora publicos de vazamentos e, por isso, integra os dicionarios usados em credential stuffing e password spraying. A referencia canonica e o conjunto Pwned Passwords do Have I Been Pwned (HIBP) de Troy Hunt, que expoe mais de mil milhoes de hashes SHA-1 unicos atraves de uma API com k-anonimato: o cliente envia apenas os primeiros cinco caracteres hexadecimais do hash e recebe a lista de sufixos correspondentes, sem que a senha saia do dispositivo. A secao 5.1.1.2 do NIST SP 800-63B exige explicitamente comparar novas senhas com tais corpora. Cloudflare, 1Password, Okta e outros fornecedores integram a API HIBP em fluxos de cadastro e troca de senha.
● Exemplos
- 01
Um utilizador define 'P@ssw0rd123' e o formulario bloqueia por aparecer mais de 3 milhoes de vezes em HIBP.
- 02
Modulo Active Directory que verifica periodicamente os hashes NTLM contra o corpus offline Pwned Passwords.
● Perguntas frequentes
O que é Senha Vazada (Pwned)?
Senha que ja aparece em uma fuga de dados conhecida e que, portanto, nunca deve ser aceita como segredo do utilizador, segundo o servico Have I Been Pwned de Troy Hunt. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Senha Vazada (Pwned)?
Senha que ja aparece em uma fuga de dados conhecida e que, portanto, nunca deve ser aceita como segredo do utilizador, segundo o servico Have I Been Pwned de Troy Hunt.
Como funciona Senha Vazada (Pwned)?
Uma senha 'pwned' e aquela ja presente em corpora publicos de vazamentos e, por isso, integra os dicionarios usados em credential stuffing e password spraying. A referencia canonica e o conjunto Pwned Passwords do Have I Been Pwned (HIBP) de Troy Hunt, que expoe mais de mil milhoes de hashes SHA-1 unicos atraves de uma API com k-anonimato: o cliente envia apenas os primeiros cinco caracteres hexadecimais do hash e recebe a lista de sufixos correspondentes, sem que a senha saia do dispositivo. A secao 5.1.1.2 do NIST SP 800-63B exige explicitamente comparar novas senhas com tais corpora. Cloudflare, 1Password, Okta e outros fornecedores integram a API HIBP em fluxos de cadastro e troca de senha.
Como se defender contra Senha Vazada (Pwned)?
As defesas contra Senha Vazada (Pwned) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Senha Vazada (Pwned)?
Nomes alternativos comuns: Senha comprometida, Senha vazada, Senha HIBP.
● Termos relacionados
- identity-access№ 798
Politica de Senhas
Conjunto documentado de regras sobre como as senhas dos utilizadores sao criadas, armazenadas, rodadas e validadas para equilibrar seguranca e usabilidade.
- identity-access№ 795
Palavra-passe
Cadeia secreta de caracteres que o utilizador fornece para provar a sua identidade a um sistema; tradicionalmente, o mecanismo de autenticação de fator único dominante.
- attacks№ 232
Credential stuffing
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.
- attacks№ 800
Pulverização de palavras-passe
Ataque "low and slow" que testa um pequeno conjunto de palavras-passe comuns em muitas contas, mantendo-se abaixo dos limites de bloqueio e rate-limit.
- attacks№ 275
Violacao de dados
Incidente de seguranca confirmado em que uma parte nao autorizada acede, extrai ou divulga informacao sensivel, protegida ou confidencial.
- identity-access№ 797
Gestor de palavras-passe
Aplicação que gera, armazena e preenche automaticamente credenciais únicas e fortes, protegida por uma frase mestra e, cada vez mais, por passkeys.
● Veja também
- № 796Entropia de Senha