Pamiętacie wyciek haseł grupy Gawker Media w 2010 r.?

Portal Gizmodo opublikował listę najbardziej popularnych haseł w 2014 roku, wyśmiewając przy okazji osoby stosujące słabej jakości hasła. Jak na ironię, Gizmodo należy do grupy Gawker Media, która stała się symbolem słabej polityki haseł w 2010 roku, kiedy to atakujący włamali się do jej sieci i odszyfrowali niemal 200 000 haseł. Ciekawe, jakby wypadła ta lista w porównaniu z liczbą czytelników portalu Gizmodo w 2010 roku…

Co interesujące, 16 z 25 pozycji na tegorocznej liście najczęściej wykorzystywanych (i w efekcie nieskutecznych) haseł pokrywa się z tymi, które zostały ujawnione podczas wycieku danych Gawkera w 2010 roku. Jeśli spojrzymy na obecną listę, spośród 50 najczęściej używanych haseł tylko 4 nie znajdują się na liście sprzed 5 lat. Zatem, jeśli Twoje hasło to „access”, „mustang” czy „696969”, to właściwie radzisz sobie lepiej niż większość ludzi.

Przez 5 lat niewiele się zmieniło w kwestii popularnych haseł

Tweet

Tegoroczna lista to zbiór danych logowania, które wyciekły w ciągu roku, spisany przez firmę zajmującą się bezpieczeństwem, SplashData. Firma publikuje co roku jedną listę i przy każdym haśle oznacza zmianę jego pozycji. Postawiłem gwiazdkę obok każdego hasła, które pojawiło się w pierwszej 50. haseł Gawkera.

1. 123456 (bez zmian)*
2. password (bez zmian)*
3. 12345 (17w górę)*
4. 12345678 (1 w dół)*
5. qwerty (1 w dół)*
6. 123456789 (bez zmian)
7. 1234 (9 w górę)*
8. baseball (nowe)*
9. dragon (nowe)*
10. football (nowe)*
11. 1234567 (4 w dół)*
12. monkey (5 w górę)*
13. letmein (1 w górę)*
14. abc123 (9 w dół)*
15. 111111 (8 w dół)*
16. mustang (nowe)
17. access (nowe)
18. shadow (bez zmian)*
19. master (nowe)*
20. michael (nowe)*
21. superman (nowe)*
22. 696969 (nowe)
23. 123123 (12 w dół)*
24. batman (nowe)*
25. trustno1 (1 w dół)*

Warto zauważyć, że 80 procent „nowych” haseł na liście znajdowało się już w pierwszej 50. haseł Gawkera 5 lat temu. Interesujące jest także to, że „123456789” nie jest nowe na liście SplashData, ale nie pojawia się w niesławnej 50. Gawkera.

Muszę w tym miejscu zaznaczyć, że ujawnione hasła Gawkera były zaszyfrowane. Tak się składa, że 188 000 z nich nie było przemyślane i z łatwością można było je odszyfrować w oparciu o wartości funkcji mieszającej (tzw. hashe). Przechowywanie zaszyfrowanych haseł to absolutne minimum wymogów bezpieczeństwa. Wyciek danych Gawkera pokazał, że nawet osoby rzekomo obeznane z technologią źle zarządzają swoją polityką haseł.

Morał z tej historii nie jest nowy ani jakoś szczególnie odkrywczy: ludzie nie są dobrzy w tworzeniu haseł. A dokładniej, ludzie są naprawdę beznadziejni w kwestii bezpieczeństwa w ogóle. Dlatego branża technologiczna i bezpieczeństwa muszą wziąć sprawy w swoje ręce. Nie można obwiniać użytkowników za wycieki danych – ani tych, które przyczyniły się do powstania tej listy, ani tych, które umożliwiły opublikowanie tysięcy intymnych zdjęć celebrytów.

Mogę Wam powiedzieć, a właściwie już kiedyś powiedziałem, jak utworzyć silne i łatwe do zapamiętania hasło. To naprawdę nie jest fizyka jądrowa. Każdy z Was dobrze czuje, co to jest silne hasło. Tak naprawdę mamy świadomość zagrożeń związanych ze słabymi hasłami i równocześnie bagatelizujemy ją; wiemy, jak tworzyć dobre hasła, ale jesteśmy zbyt leniwi, aby pamiętać wiele unikatowych fraz do różnych stron.

Dlatego próby podejmowane przez Twittera w postaci „Digits„, TouchID firmy Apple oraz inne pomysły wykorzystujące biometrykę, SMS-y czy weryfikację dwuetapową powinny być doceniane. Wiemy, że nie są doskonałe, ale pchają do eksperymentowania z nowymi formami autoryzacji, co potencjalnie może doprowadzić do porzucenia najbardziej niedoskonałej formy uwierzytelniania: haseł.