Gdy na początku roku w cyberbezpieczeństwie mało się dzieje, a ja zastanawiam się, o czym napisać, regularnie przychodzi mi do głowy ten sam pomysł:
A może sprawdzić najpopularniejsze hasła? Pewnie gdzieś jest jakaś lista. Może po latach wbijania do głów podstawowych zasad, ludzie w końcu coś zrozumieli?
TL;DR – ni cholery nie zrozumieli
Firma NordPass, twórca jednego z wielu obecnych na rynku menedżerów haseł, co roku korzysta z listy wycieków i wsparcia niezależnych badaczy bezpieczeństwa, by skomplikować listę haseł, pojawiających się najczęściej w wyciekach. Co ciekawe, nie tylko w ujęciu ogólnym, ale też w podziale na kraje. Na liście znajdziemy – poza hasłami i informacją, ile razy wystąpiły w bazie – średni czas potrzebny do ich złamania. Tym razem do badania posłużyły aż 4 terabajty danych – to naprawdę mnóstwo haseł. A jakie wyniki? Cóż, jak zawsze – przerażające.
Najpopularniejsze hasła na świecie
Zacznijmy od tabeli i pierwszej dziesiątki:
| 1. | 123456 | 103 170 552 | <1 sek. |
| 2. | 123456789 | 46 027 530 | <1 sek. |
| 3. | 12345 | 32 955 431 | <1 sek. |
| 4. | qwerty | 22 317 280 | <1 sek. |
| 5. | password | 20 958 297 | <1 sek. |
| 6. | 12345678 | 14 745 771 | <1 sek. |
| 7. | 111111 | 13 354 149 | <1 sek. |
| 8. | 123123 | 10 244 398 | <1 sek. |
| 9. | 1234567890 | 9 646 621 | <1 sek. |
| 10. | 1234567 | 9 396 813 | <1 sek. |
| 14. | aa12345678 | 8 098 805 | 2 sek. |
| 54. | myspace1 | 1 619 027 | 3 godz. |
| 104. | gwerty123 | 1 017 297 | 3 godz. |
Jak to podsumować? Ciężko mi rwać sobie włosy z głowy, bo mam ich i tak niewiele, ale chciałoby się powiedzieć: „Jak krew w piach”. Awarenessowcy z całego świata tłumaczą konsekwentnie, do bólu, to samo, po kilkanaście razy rocznie. A tymczasem mamy 240 milionów ludzi (tylko w próbce!) którzy zamiast wpisać hasło wyliczają po kolei liczbę swoich szarych komórek…
Wiem oczywiście, że nieświadomy użytkownik to przede wszystkim wina bezpieczniaka (lub tego, że nie dotarła do niego edukacja), ale naprawdę ciężko mi zrozumieć, jak w 2022 roku, 26 lat po powstaniu Onetu (wtedy jeszcze jako OptimusNet) ludzie wciąż uważają, że hasło 123456 wystarczy do zabezpieczenia ich cyfrowych włości!
Cudze ganicie, swego… też się wstydźcie
No dobra, a jak było w Polsce? Lepiej, gorzej? Cóż, zwycięzca ten sam, ale przynajmniej w pierwszej dziesiątce mieliśmy akcent patriotyczny.
| 1. | 123456 | 564 786 | <1 sek. |
| 2. | qwerty | 170 112 | <1 sek. |
| 3. | 123456789 | 160 693 | <1 sek. |
| 4. | 12345 | 155 582 | <1 sek. |
| 5. | zaq12wsx | 100 695 | 1 sek. |
| 6. | password | 65 945 | <1 sek. |
| 7. | 12345678 | 62 816 | <1 sek. |
| 8. | polska | 62 555 | <1 sek. |
| 9. | 1234567 | 51 948 | <1 sek. |
| 10. | 123qwe | 45 542 | <1 sek. |
| 12. | misiek | 40 520 | 2 min. |
| 13. | lol123 | 39 879 | 3 godz. |
| 116. | agnieszka1 | 12 374 | 12 dni |
Lepiej? Tak, lepiej… nie mówić. Zastanawiam się, skąd tak długi czas złamania przy hasłach z miejsca 13. i 116.? Wydają się być, szczególnie to drugie, dość łatwe do złamania metodą słownikową. Stawiam, że po prostu wrzucono je do generycznego, najprostszego „łamacza”.
A jak wygląda kwestia w pozostałych krajach świata, w których przeprowadzono badanie? Przyjrzałem się nieco losowo jak wyglądają najpopularniejsze hasła w innych badanych krajach. W każdym z nich na czele było albo 123456 albo password. Tam gdzie przejrzałem całe listy, wśród 200 haseł nie było ani jednego stworzonego w porządny sposób. Ani jednego, którym bez ryzyka mógłbym zabezpieczyć własne dane. Nawet te mniej ważne, bo o wrażliwych w ogóle nie ma mowy.
Co robić z tymi hasłami?
Jeśli Twoje hasło jest na liście Nordpass, pora przełknąć pigułkę wstydu. Gdy czerwień zejdzie Ci z twarzy, zmień hasło wszędzie tam, gdzie go używasz. Jak? O tym pisałem całkiem niedawno. Dodatkowo, jeśli mamy do czynienia z danymi wrażliwymi, warto dodać do tego uwierzytelnianie dwuskładnikowe. Dbajcie o higienę swojej aktywności w sieci. To naprawdę wiele nie wymaga.
To jak? 1, 2, 3, 4, 5, 6… i zmieniamy hasła?
