2020 er ikke over ennå, men vi kjenner allerede dine favorittpassord

Akkurat som hvert siste år fullførte informasjonssikkerhetsmiljøet slutten av året evaluering av passordpraksis og brukervaner. Dessverre er ikke oversikten for 2020 spesielt oppmuntrende.

Det er mange råd på Internett angående passordsikkerhet. Våre egne artikler behandler emnet veldig ofte. Imidlertid ser det ut til at folk er spesielt sta når det gjelder passord og rett og slett nekter å lytte og lære.

Tro det eller ei, "123456" er fremdeles det vanligste passordet blant folket som ble spurt i passordsikkerhetsundersøkelsen. Sikkerhetsforskere vil vanligvis publisere en beregning som beskriver estimert passordstyrke - "time to brute-force", som refererer til hvor lenge en hacker eller en gruppe dårlige skuespillere trenger å knekke et bestemt passord. Denne beregningen gjelder ikke engang når det gjelder passord som "123456", ettersom passordet er så mye brukt, lett å gjette og åpenbart.

Det andre stedet i passord hall of shame er reservert for "123456789". Det ser ut til at folk fremdeles på en eller annen måte tror at å trekke flere påfølgende tall etter hverandre gjør passordet deres sikrere. Dette er rett og slett ikke tilfelle og har aldri vært det.

Andre langvarige hall of shame klassiske passordstrenger som ordet "passord" kommer fremdeles opp på topp 10 mest brukte passord for år 2020. Det eneste passordet på topp 10-listen som ikke kan antas av en brutal styrke skript i løpet av sekunder er "picture1". Dessverre er tiden det tar en vanlig hjemmecomputer å tøffe et passord som "picture1", et par timer, noe som fortsatt betyr at passordet er langt fra sikkert.

Det virker som om folk nesten tar tak i noen av prinsippene for gode passord, men implementerer dem egentlig ikke godt, som det skin-fisted forsøket på å blande bokstaver og tall i strengen.

Hva er forskjellen mellom et sekund og flere århundrer?

For å gi et slags perspektiv på passordstyrke, kom vi opp med et testpassord som bruker en sammenblanding av to uvanlige ord, noe som resulterte i en streng som ikke ble funnet i en ordbok, med flere symboler og tall kastet i blandingen, og løp den resulterende 18 tegnstrengen gjennom en passordstyrkekontroll. Resultatet var at det ville ta anslagsvis hundrevis og hundrevis av år å tøffe denne strengen, selv når du bruker et stort beregningsnettverk, noe som gjør den effektivt ukontrollabel.

Det tar ikke alltid en streng med 20 symboler for å ha et trygt passord, det tar bare å blande bokstaver, symboler og tall i god grad og aldri bruke enkle ord som du finner i ordboken, som de fleste brute-force-manus stoler på massive ordbokdatabaser for å knekke passord.