Sprawdzili bazę i znaleźli dziesiątki tysięcy dup. Z jakiegoś powodu pośladki rządzą na liście haseł
Najnowszy raport pokazuje, dlaczego pośladki powinny służyć jedynie do siedzenia. Polski startup przeanalizował dane z wycieków i pokazał, że na czterech literach polegamy zbyt często przy tworzeniu haseł. Co ciekawe, częstotliwość wykorzystania "słowa na d" w haśle jest wprost proporcjonalna do wieku.
Pomimo że przeglądarki internetowe takie jak Google Chrome czy Microsoft Edge wręcz wpychają w ręce użytkowników długie, silne i trudne do odgadnięcia hasła, nadal namiętnie korzystamy z 1234567890, haslo, qwerty, lol123 czy... dupy.
Jak pokazuje najnowszy raport, nasze pośladki są wciąż często wykorzystywanym "rdzeniem" hasła. I w tej roli nadaje się do... sam wiesz czego.
RIFFSEC to całkiem poważna firma z raportem nie do, a o dupie
RIFFSEC to polski startup z branży CTI (cyber threat intelligence), oferujący narzędzie do monitorowania i reagowania na incydenty bezpieczeństwa w cyfrowej przestrzeni dla przedsiębiorstw. Główny produkt startupu to narzędzie o tej samej nazwie - RIFFSEC, monitorujące internet i darknet, które pozwala firmie szukać, wykrywać i zgłaszać wycieki danych oraz ataki typu phishing.
Jak przekazuje Konrad Latkowski, prezes firmy, przedsiębiorstwo stawia na regionalizację i dostarczanie danych o lokalnych (dla danego rynku) super markach jak np. InPost, Orlen, Allegro, PKO Bank Polski w Polsce lub Bata, Tatra, Budweiser dla Czech czy Singatel, DBS czy Changi dla Singapuru.
W ostatnim raporcie polski startup pochylił się nad słowem dupa, które licznie pojawia się w hasłach. Skąd RIFFSEC o tym wie? Z licznych wycieków.
W sumie RIFFSEC odnotował 48 265 rekordów (zapisów danych) ze słowem "dupa" z publicznych wycieków danych. Po oczyszczeniu zbioru z duplikatów i "ewidentnie niepolskich kont", dupa pojawia się w 32 611 hasłach. Jednocześnie RIFFSEC wyróżniło 5608 unikalnych haseł zawierających słowo "dupa".
Dupa najczęściej pojawia się w wariancie 8 znakowym, tu RIFFSEC odnalazło aż 6355 haseł. W 10-cio znakowych 4956, a w 9 i 11 znakowym ok 4 tys. razy. Co ciekawe, aż 169 wycieków dotyczyło po prostu hasła "dupa" - bez dodatkowych znaków.
Najczęściej "dupa" używana jest do zabezpieczenia kont powiązanych z serwisami rozrywkowymi i grami, na drugim miejscu stoją serwisy społecznościowe, a podium zamykają serwisy wideo. Jednak stosunkowo popularne są one do zabezpieczania kont e-commerce (np. Allegro) czy poczty e-mail.
Sprawdź, czy hasło twojego dziecka nie jest do d...
W serwisach wideo (Netflix, Polsat, TVN, HBO, VOD, itp) hasła ze słowem dupa używano 7-krotnie częściej niż do serwisów z muzyką lub audiobookami (Spotify, Audioteka, itp.).
Prawie 2-krotnie wariacje hasła ze słowem "dupa" są wykorzystywane do logowania do serwisów edukacyjnych (Librus, Udemy, portale edukacyjne, itp.) niż do serwisów dla dorosłych.
W kategorii rozrywka/gry, dupa najczęściej pojawia się w hasłach do Steama, Roblox oraz League of Legends. Natomiast ogółem dupę najczęściej wpisujemy do logowania się do konta Facebook, Google, Steam, Roblox oraz Netflix.
RIFFSEC podzielił się także pięcioma najpopularniejszymi wariacjami hasła z "dupą":
- dupa1234
- dupa123
- DUPADUPA
- Dupa12345
- dupa11
W całej analizie dostrzegam dwa plusy. Pierwszy jest taki, że hasła ze słowem dupą nie są w wyciekach tak popularne jak zakładaliśmy przed analizą. Drugi plus to fakt, że ponad 20 tysięcy haseł to 8 lub więcej znaków, choć w większości przypadków daleko im do bezpiecznych haseł.
Komentuje Konrad Latkowski
Co zrobić, jeżeli hasło jest do dupy?
Jednocześnie Latkowski zaznacza, że pozyskane przez nich dane pochodzą z wycieków, to najpopularniejsze warianty hasła "dupa" są niesamowicie podatne na ataki typu bruteforce. Tego typu ataki polegają na wykorzystaniu oprogramowania, które zamiast wykradać, hasła ponawia próby wpisania poprawnego hasła, starając się je po prostu "odgadnąć". Dupadupa czy dupa12345 są na tyle proste, że atak typu bruteforce złamie je w ciągu kilku sekund.
Chyba, że stosujemy MFA czy 2FA czyli uwierzytelnianie wieloskładnikowe czyli kod SMS lub podpięcie klucza U2F (np. Yubikey). Innymi elementami spowalniającymi mogą być blokady od twórców oprogramowania np. w postaci blokady logowania po 3 nieudanych próbach.
Przy czym Latkowski zastrzega, że użycie dupy może być bezpieczne. W jaki sposób? Wystarczy być bardziej kreatywnym.
"Nasz zespół analityczny ma tutaj prostą i dla wielu zaskakująca poradę. Najlepiej "dupę"czy inne ulubione słowo zawrzeć w dłuższym, ale równie prostym do zapamiętania zdaniu, które będzie znacznie trudniejsze do odgadnięcia, np. "Kolorowa Dupa to Smieszna Dupa raz 2 trzy!”. Hasło spełni kryterium długości, znaku specjalnego, cyfry, dużych i małych liter.
Wyjasnia Konrad Latkowski
Tworząc hasła najlepiej jest tworzyć je nie z dupą, a z głową. Według RIFFSEC dobre zabezpieczenie konta ma trzy elementy: silne, nieoczywiste hasło oraz drugi składnik uwierzytelnienia, który chroni zawartość konta zarówno przed wyciekiem, atakiem bruteforce, ale i menedżer haseł, który przechowa hasła znacznie bezpieczniej niż kartka papieru czy notatnik komputera.