Passordvaner i 2021 – gjør vi noen fremgang?

Det er tiden på året da sikkerhetsforskere begynner å gjøre årlige gjennomganger av ulike sikkerhetspraksis, trender og utviklinger. Et av de mest nysgjerrige temaene blant disse er passordvaner og det generelle nivået på passordhygiene som praktiseres av vanlige brukere.

Sikkerhetsfirmaet Nordpass publiserte sin årlige gjennomgang av passordpraksis og vanlig brukte passord, ved å bruke innsamlede data fra 50 forskjellige land over hele verden. Dessverre er resultatene ikke oppmuntrende i det hele tatt og viser ingen meningsfull forbedring i måten folk velger passordene sine på.

Dataene som brukes av Nordpass kommer fra en massiv database med lekkede passord, som inneholder 4 terabyte med poster. De fleste av disse passordene ble samlet inn fra Nord-Amerika, Europa, Australia og Russland.

Fordelingen av de mest brukte passordene for 2021 ser slik ut:

  • 123456 (103 millioner forekomster)
  • 123456789 (46 millioner forekomster)
  • 12345 (32 millioner forekomster)
  • qwerty (22 millioner forekomster)
  • passord (20 millioner forekomster)
  • 12345678 (14 millioner forekomster)
  • 111111 (13 millioner tilfeller)
  • 123123 (10 millioner forekomster)
  • 1234567890 (9 millioner forekomster)
  • 1234567 (9 millioner forekomster)

Hvis noe, viser dette at folk fortsatt ikke har lært hvordan man konstruerer et sterkt passord, til tross for at sikkerhets- og infoteknologiindustrien har prøvd å drive konseptet hjem i årevis.

Nysgjerrige biter funnet i passorddatabasen inkluderer også hyppig bruk av fornavn som passord - en annen streng som kan gjettes praktisk talt umiddelbart, ved hjelp av enkle ordbøker. Ekstremt lett å gjette navn på musikkband og fotballklubber ble også ofte brukt på nettsider og tjenester knyttet til henholdsvis musikk og fotball.

Etter en periode hvor det generelt ble anbefalt å bruke en blanding av bokstaver, symboler og tall, har denne trenden nå gradvis blitt erstattet med en annen tilnærming til passord. Til syvende og sist, med den tilgjengelige datakraften for øyeblikket, er lengden det eneste som betyr noe når det gjelder å tvinge et passord.

I denne forstand har det å komme opp med en utrolig komplisert streng du vil slite med å huske og sannsynligvis må ha på et stykke papir i lommeboken, blitt erstattet med å velge en streng med fire eller flere mellomlange ord, som gir god lengde og tilstrekkelig entropi på samme tid.

Slik sett er et passord som "L1verpo0lisB3st09$" mindre sikkert enn en enkel setning som gir mening for deg og som du kan huske mye lettere, slik som for eksempel strengen "GiraffesFeelSadDuringWinter".

November 17, 2021