W tych serwisach wybiera się najsłabsze hasła. To niewiarygodne, ale ludzie ciągle popełniają ten sam błąd
Wystarczy mniej niż sekunda by złamać najchętniej stosowane hasła w sieci. Lata mijają, a proste zabezpieczenia ciągle królują. Można tylko powtórzyć: najwyższy czas na zmianę. Nie nawyków, a tego, jak chronimy nasze dane.
Śmiejemy się z łańcuszków i naiwności użytkowników, a bardziej niepokoić powinien fakt, że ciągle najprostsze hasła są najczęściej stosowane. Firma NordPass opublikowała wyniki swoich najnowszych badań, które ujawniają 200 najpopularniejszych haseł w 2023 roku w 35 krajach. Nie ma wielkiego zaskoczenia, ale i tak smuci, że legendarne „123456” jest ciągle niezatapialne.
Skąd badacze wiedzą, jakie hasła są w użyciu? Przeanalizowano bazę danych o pojemności 6,6 TB zawierającą hasła ujawnione przez różne złośliwe oprogramowanie. Z haseł, które wyciekły, stworzono „listę przebojów”.
Oto 20 najpopularniejszych haseł 2023 r. Też któregoś używacie?
- 123456
- admin
- 12345678
- 123456789
- 1234
- 12345
- password
- 123
- Aa123456
- 1234567890
- UNKNOWN
- 1234567
- 123123
- 111111
- Password
- 12345678910
- 000000
- admin123
- ********
- User
Pewnym pocieszeniem może być fakt, że te byle jakie hasła mogą być stosowane w byle jakich serwisach, gdzie użytkowników po prostu interesuje konkretna funkcja i nie przechowują tam poufnych danych. Sugestią, że często właśnie tak bywa, jest choćby to, że NordPass sprawdził, gdzie są najsłabsze hasła.
Okazuje się, że ludzie używają najsłabszych haseł do kont streamingowych
Teoretycznie nic tylko złapać się za głowę, ale… wcale to nie dziwi. Według Tomasa Smalakysa, dyrektora ds. technologii (CTO) w NordPass, może to być powiązane ze wspólnymi kontami zarządzanymi przez kilka osób, które dla wygody używają łatwych do zapamiętania haseł. Platformy streamingowe wprawdzie walczą z takim działaniem, ale faktycznie wiele osób korzystało z takiego wspólnego konta.
O cyberbezpieczeństwie piszemy na Spider's Web:
Jest też druga strona medalu. Na przykład ostatnio przyłapano Donalda Tuska na wpisywaniu kodu PIN w telefonie. Blokada była banalnie prosta – 555555. Jak pisał Albert, gdyby urządzenie trafiłoby w cudze ręce, to odgadnięcie rzędu kilku tych samych cyfr (lub innych kombinacji typu 1234) nie stanowi problemu.
Nie chce nawet wiedzieć, czy Donald Tusk trzyma bardzo wrażliwe dane na swoim smartfonie - ale jeśli tak, to szczególnie nie powinien korzystać z takiego hasła. Nikt nie powinien - po prostu. Warto stosować bardziej wymyślne kombinacje cyfr, aby zachować bezpieczeństwo danych przechowywanych na naszych smartfonach.
- słusznie załamywał ręce Albert Żurek.
Teorię, że słabych haseł używa się tam, gdzie nie ma się nic cennego, łatwo więc obalić. Skoro doświadczony polityk popełnia tak proste błędy, to nie ma co liczyć na to, że większość społeczeństwa będzie w tych kwestiach lepsza, niestety. I chociaż z raportu NordPass wynika, że najsilniejsze hasła są używane do kont finansowych, to jednak droga na skróty ciągle jest często wybierana.
Badacze dodają, że aż 70 proc., haseł znajdujących się na tegorocznej globalnej liście można złamać w mniej niż sekundę
Teoretycznie można więc zachęcać do tworzenia silniejszych kombinacji – tym bardziej że są dostępne narzędzia pozwalające ocenić, jak trudne do złamania jest nasze hasło; taki kalkulator stworzyli Polacy – to lepiej by było, gdybyśmy w końcu z haseł po prostu zrezygnowali.
To powoli się dzieje, za sprawą takich usług jak Passkeys, które stają się coraz bardziej dostępne. Ciekawą drogą idą też banki. Na przykład ING Bank Śląski nie tak dawno wprowadził klucze U2F. To osobne urządzenia podpinane do komputera lub łączące się z telefonem, zawierające przycisk. Po jego wciśnięciu system wie, że my to my.
Podczas próby logowania, już po podaniu prawidłowego loginu i hasła, serwer zaczyna porównywać przekazane mu uprzednio dane z tymi, które dostarcza przeglądarka internetowa. (…) Co istotne, klucze U2F komunikują się bezpośrednio z przeglądarką internetową, co oznacza, że są odporne na ataki z użyciem np. keyloggera — nikt w ich przypadku nie wciska żadnych klawiszy na klawiaturze i przechwycenie danych tą metodą jest niemożliwe. Na nic atakującym zda się też klasyczny phishing, bo w celu zalogowania się i tak trzeba posiadać fizyczny dostęp do klucza
– pisaliśmy tłumacząc, czym są klucze U2F.
Podobne plany wdrożenia kluczy ma też PKO BP, chociaż jeszcze nie wiadomo, kiedy zostaną udostępnione klientom. Krok po kroku, może nieco za wolno, ale przynajmniej odchodzimy od tradycyjnych haseł. I dobrze, bo kolejne podsumowanie pokazuje, że ta metoda zabezpieczeń po prostu się nie sprawdza