Sprawdzili bazę i znaleźli dziesiątki tysięcy dup. Z jakiegoś powodu pośladki rządzą na liście haseł

Pomimo że przeglądarki internetowe takie jak Google Chrome czy Microsoft Edge wręcz wpychają w ręce użytkowników długie, silne i trudne do odgadnięcia hasła, nadal namiętnie korzystamy z 1234567890, haslo, qwerty, lol123 czy... dupy.

Jak pokazuje najnowszy raport, nasze pośladki są wciąż często wykorzystywanym "rdzeniem" hasła. I w tej roli nadaje się do... sam wiesz czego.

RIFFSEC to polski startup z branży CTI (cyber threat intelligence), oferujący narzędzie do monitorowania i reagowania na incydenty bezpieczeństwa w cyfrowej przestrzeni dla przedsiębiorstw. Główny produkt startupu to narzędzie o tej samej nazwie - RIFFSEC, monitorujące internet i darknet, które pozwala firmie szukać, wykrywać i zgłaszać wycieki danych oraz ataki typu phishing.

Jak przekazuje Konrad Latkowski, prezes firmy, przedsiębiorstwo stawia na regionalizację i dostarczanie danych o lokalnych (dla danego rynku) super markach jak np. InPost, Orlen, Allegro, PKO Bank Polski w Polsce lub Bata, Tatra, Budweiser dla Czech czy Singatel, DBS czy Changi dla Singapuru.

W ostatnim raporcie polski startup pochylił się nad słowem dupa, które licznie pojawia się w hasłach. Skąd RIFFSEC o tym wie? Z licznych wycieków.

W sumie RIFFSEC odnotował 48 265 rekordów (zapisów danych) ze słowem "dupa" z publicznych wycieków danych. Po oczyszczeniu zbioru z duplikatów i "ewidentnie niepolskich kont", dupa pojawia się w 32 611 hasłach. Jednocześnie RIFFSEC wyróżniło 5608 unikalnych haseł zawierających słowo "dupa".

Dupa najczęściej pojawia się w wariancie 8 znakowym, tu RIFFSEC odnalazło aż 6355 haseł. W 10-cio znakowych 4956, a w 9 i 11 znakowym ok 4 tys. razy. Co ciekawe, aż 169 wycieków dotyczyło po prostu hasła "dupa" - bez dodatkowych znaków.

Najczęściej "dupa" używana jest do zabezpieczenia kont powiązanych z serwisami rozrywkowymi i grami, na drugim miejscu stoją serwisy społecznościowe, a podium zamykają serwisy wideo. Jednak stosunkowo popularne są one do zabezpieczania kont e-commerce (np. Allegro) czy poczty e-mail.

W serwisach wideo (Netflix, Polsat, TVN, HBO, VOD, itp) hasła ze słowem dupa używano 7-krotnie częściej niż do serwisów z muzyką lub audiobookami (Spotify, Audioteka, itp.).

Prawie 2-krotnie wariacje hasła ze słowem "dupa" są wykorzystywane do logowania do serwisów edukacyjnych (Librus, Udemy, portale edukacyjne, itp.) niż do serwisów dla dorosłych.

W kategorii rozrywka/gry, dupa najczęściej pojawia się w hasłach do Steama, Roblox oraz League of Legends. Natomiast ogółem dupę najczęściej wpisujemy do logowania się do konta Facebook, Google, Steam, Roblox oraz Netflix.

RIFFSEC podzielił się także pięcioma najpopularniejszymi wariacjami hasła z "dupą":

Jednocześnie Latkowski zaznacza, że pozyskane przez nich dane pochodzą z wycieków, to najpopularniejsze warianty hasła "dupa" są niesamowicie podatne na ataki typu bruteforce. Tego typu ataki polegają na wykorzystaniu oprogramowania, które zamiast wykradać, hasła ponawia próby wpisania poprawnego hasła, starając się je po prostu "odgadnąć". Dupadupa czy dupa12345 są na tyle proste, że atak typu bruteforce złamie je w ciągu kilku sekund.

Przy czym Latkowski zastrzega, że użycie dupy może być bezpieczne. W jaki sposób? Wystarczy być bardziej kreatywnym.

Tworząc hasła najlepiej jest tworzyć je nie z dupą, a z głową. Według RIFFSEC dobre zabezpieczenie konta ma trzy elementy: silne, nieoczywiste hasło oraz drugi składnik uwierzytelnienia, który chroni zawartość konta zarówno przed wyciekiem, atakiem bruteforce, ale i menedżer haseł, który przechowa hasła znacznie bezpieczniej niż kartka papieru czy notatnik komputera.