Nawyki dotyczące haseł w 2021 r. – czy robimy jakieś postępy?

Jest to pora roku, kiedy badacze bezpieczeństwa zaczynają robić coroczne przeglądy różnych praktyk, trendów i zmian w zakresie bezpieczeństwa. Jednym z najciekawszych tematów wśród nich są nawyki związane z hasłami i ogólny poziom higieny haseł praktykowany przez zwykłych użytkowników.

Firma zajmująca się bezpieczeństwem Nordpass opublikowała swój coroczny przegląd praktyk związanych z hasłami i powszechnie używanych haseł, wykorzystując zebrane dane z 50 różnych krajów na całym świecie. Niestety wyniki wcale nie są zachęcające i nie wykazują znaczącej poprawy w sposobie wybierania haseł.

Dane wykorzystywane przez Nordpass pochodzą z ogromnej bazy danych, w której doszło do wycieku haseł, która zawiera 4 terabajty rekordów. Większość tych haseł została zebrana z Ameryki Północnej, Europy, Australii i Rosji.

Podział najczęściej używanych haseł na rok 2021 wygląda następująco:

  • 123456 (103 miliony instancji)
  • 123456789 (46 milionów wystąpień)
  • 12345 (32 miliony wystąpień)
  • qwerty (22 miliony wystąpień)
  • hasło (20 milionów wystąpień)
  • 12345678 (14 milionów wystąpień)
  • 111111 (13 milionów wystąpień)
  • 123123 (10 milionów instancji)
  • 1234567890 (9 milionów wystąpień)
  • 1234567 (9 milionów wystąpień)

Jeśli już, to pokazuje, że ludzie wciąż nie nauczyli się tworzyć silnego hasła, mimo że branża bezpieczeństwa i informatyki od lat próbuje wprowadzić tę koncepcję do domu.

Ciekawe bity znalezione w bazie haseł to również częste używanie imion jako hasła - kolejnego ciągu, który można odgadnąć praktycznie od razu, używając prostych słowników. Niezwykle łatwe do odgadnięcia nazwy zespołów muzycznych i klubów piłkarskich były również powszechnie używane na stronach internetowych i serwisach związanych odpowiednio z muzyką i piłką nożną.

Po okresie, w którym ogólnie zalecano używanie kombinacji liter, symboli i cyfr, trend ten został stopniowo zastąpiony innym podejściem do haseł. Pod koniec dnia, przy dostępnej obecnie mocy obliczeniowej, jedyną rzeczą, która ma znaczenie, jeśli chodzi o brutalne wymuszanie hasła, jest długość.

W tym sensie wymyślanie jakiegoś niewiarygodnie skomplikowanego ciągu, który będziesz miał trudności z zapamiętaniem i prawdopodobnie będziesz musiał trzymać na kawałku papieru w portfelu, zastąpiono wyborem ciągu czterech lub więcej słów średniej długości, zapewniających wystarczającą długość i jednocześnie wystarczająca entropia.

W tym sensie hasło takie jak „L1verpo0lisB3st09$” jest mniej bezpieczne niż prosta fraza, która ma dla Ciebie sens i którą możesz łatwiej zapamiętać, na przykład ciąg „GiraffesFeelSadDuringWinter”.

November 17, 2021