Firma SplashData zajmująca się między innymi aplikacjami do zarządzania hasłami opublikowała listę 25 najczęściej używanych haseł. Jeśli na tej liście znajduje się Twoje hasło – zalecamy jego zmianę na bardziej skomplikowane :] Lista popularnych haseł poniżej:
1. password
2. 123456
3.12345678
4. qwerty
5. abc123
6. monkey
7. 1234567
8. letmein
9. trustno1
10. dragon
11. baseball
12. 111111
13. iloveyou
14. master
15. sunshine
16. ashley
17. bailey
18. passw0rd
19. shadow
20. 123123
21. 654321
22. superman
23. qazwsx
24. michael
25. football
11 komentarzy do
21 listopada, 2011 o godzinie 17:27
Hm… Czasami zastanawiam się, czy użycie któregoś z tych haseł właśnie nie gwarantuje bezpieczeństwa :) Bo wiedza o tym, że to są najpopularniejsze hasła powoduje, że je przestajemy sprawdzać ;)
21 listopada, 2011 o godzinie 17:39
Heheh trafna i zabawna uwaga :]
Ale niestety prawda jest taka, że podczas testów penetracyjnych korzystam się bardzo często z list popularnych haseł, więc podejrzewam, że druga strona robi dokładnie tak samo :]
I mój ulubiony komiks dotyczący siły haseł: http://xkcd.com/936/
22 listopada, 2011 o godzinie 09:52
Puenta z tego komiksu jest fałszywa.
Piszę właśnie mały projekcik, który działa na zasadzie tęczowych tablic ale hasła generowane są właśnie z takich sklejek np. dwa słowa, trzy słowa, plus zmiana wielkości pierwszej litery itd.
Wystarczy kilka popularnych słowników i takie 20 znakowe hasła nie są w stanie się oprzeć ;-)
22 listopada, 2011 o godzinie 13:22
@timor: Mam wrażenie, że nie zwróciłeś uwagi na drugi obrazek (tekst w nawiasie) informujący, iż chodzi tu o atak inny niż łamanie offline, a po drugie zapomniałeś o odpowiednim podejściu do komiksu (więcej luzu :)
22 listopada, 2011 o godzinie 16:58
Jak za mało luzu? A uśmieszek? ;-)
No i ja najbardziej boje się ataków offline ;-/
23 listopada, 2011 o godzinie 07:50
Czasami łatwiej dopasować login do hasła :)
23 listopada, 2011 o godzinie 12:46
Teraz pytanie – w jakim stopniu można ufać takiej statystyce i jak bardzo jest przekłamana.
Wiele osób, które rejestruje się tylko po to, żeby sprawdzić jedną rzecz zapewne użyje prostego, łatwego do wklepania z klawiatury hasła. Tak samo osoby, którym na bezpieczeństwie danego konta za bardzo nie zależy (czysta analiza ryzyka – z rozumowaniem typu „jeśli ktoś przejmie moje konto X w portalu Y – to i tak nic złego się nie stanie, bo nie mam tam żadnych wrażliwych informacji – założę sobie drugie konto”).
Pewnie bardziej rzetelne statystyki udałoby się zrobić, gdyby np. próbowano używając tych haseł zalogować się do przypisanych do kont adresów e-mail.
Tak samo ze spam-botami. Również wypadałoby je wyciąć ze statystyk. Przeanalizowałem kiedyś hasła takich botów, które nawinęły się na moje pseudo-honeypoty i co ciekawe, większość z nich była typu „123456” i „qwerty” – także w tym przypadku pewnie to one zawyżają przedstawioną statystykę.
23 listopada, 2011 o godzinie 16:15
Tak szczerze pisząc to według mnie przekłamanie jest małe. Użytkownicy wykorzystują proste hasła wszędzie. Od usług firmowych, przez mało znaczące serwisy, aż po usługi bankowe (tam gdzie mają taką możliwość). A normalny użytkownik w ogóle nie analizuje tego czy miejsce logowania ma znaczenie w stosunku do zaawansowanego hasła. Normalny użytkownik po prostu korzysta z hasła, które pamięta :]
23 listopada, 2011 o godzinie 20:51
A pamięta przeważnie jedno… ;)
26 listopada, 2011 o godzinie 18:56
+1 dla wypowiedzi @p____h
patrząc po znajomych i rodzinie: z reguły używają jednego hasła, chyba, że powinno się o coś bardziej zadbać (konto bankowe)
jak u mnie: używam wielu haseł (jak ostatnio liczyłem, to aż się zdziwiłem, jak ja to wszystko pamiętam – ponad 20 różnych), część jest prosta (ok. 10 znaków) jeżeli nie martwię się o utratę czegoś, a część jest skomplikowana (coś ok. 25-30 znaków).
Tak więc w sumie też przekłamanie może być różne w zależności od tego, na ile „poinformowani” są nasi klienci :)
3 stycznia, 2012 o godzinie 16:58
Że zacytuję opis ofiary ostatniego wycieku:
STRATFOR – Provides strategic intelligence on global business, economic, security and geopolitical affairs.
I dość ciekawa analiza z perspektywy tego, że dane zostały wykradzione z firmy, która zajmuje się raczej ważnymi sprawami niźli blahymi. Ponownie pokazuje, że z hasłami jest raczej źle niż dobrze :]
http://www.thetechherald.com/articles/Report-Analysis-of-the-Stratfor-Password-List