Portal Gizmodo opublikował listę najbardziej popularnych haseł w 2014 roku, wyśmiewając przy okazji osoby stosujące słabej jakości hasła. Jak na ironię, Gizmodo należy do grupy Gawker Media, która stała się symbolem słabej polityki haseł w 2010 roku, kiedy to atakujący włamali się do jej sieci i odszyfrowali niemal 200 000 haseł. Ciekawe, jakby wypadła ta lista w porównaniu z liczbą czytelników portalu Gizmodo w 2010 roku…
Co interesujące, 16 z 25 pozycji na tegorocznej liście najczęściej wykorzystywanych (i w efekcie nieskutecznych) haseł pokrywa się z tymi, które zostały ujawnione podczas wycieku danych Gawkera w 2010 roku. Jeśli spojrzymy na obecną listę, spośród 50 najczęściej używanych haseł tylko 4 nie znajdują się na liście sprzed 5 lat. Zatem, jeśli Twoje hasło to „access”, „mustang” czy „696969”, to właściwie radzisz sobie lepiej niż większość ludzi.
Przez 5 lat niewiele się zmieniło w kwestii popularnych haseł
Tegoroczna lista to zbiór danych logowania, które wyciekły w ciągu roku, spisany przez firmę zajmującą się bezpieczeństwem, SplashData. Firma publikuje co roku jedną listę i przy każdym haśle oznacza zmianę jego pozycji. Postawiłem gwiazdkę obok każdego hasła, które pojawiło się w pierwszej 50. haseł Gawkera.
- 123456 (bez zmian)*
- password (bez zmian)*
- 12345 (17w górę)*
- 12345678 (1 w dół)*
- qwerty (1 w dół)*
- 123456789 (bez zmian)
- 1234 (9 w górę)*
- baseball (nowe)*
- dragon (nowe)*
- football (nowe)*
- 1234567 (4 w dół)*
- monkey (5 w górę)*
- letmein (1 w górę)*
- abc123 (9 w dół)*
- 111111 (8 w dół)*
- mustang (nowe)
- access (nowe)
- shadow (bez zmian)*
- master (nowe)*
- michael (nowe)*
- superman (nowe)*
- 696969 (nowe)
- 123123 (12 w dół)*
- batman (nowe)*
- trustno1 (1 w dół)*
Warto zauważyć, że 80 procent „nowych” haseł na liście znajdowało się już w pierwszej 50. haseł Gawkera 5 lat temu. Interesujące jest także to, że „123456789” nie jest nowe na liście SplashData, ale nie pojawia się w niesławnej 50. Gawkera.
Muszę w tym miejscu zaznaczyć, że ujawnione hasła Gawkera były zaszyfrowane. Tak się składa, że 188 000 z nich nie było przemyślane i z łatwością można było je odszyfrować w oparciu o wartości funkcji mieszającej (tzw. hashe). Przechowywanie zaszyfrowanych haseł to absolutne minimum wymogów bezpieczeństwa. Wyciek danych Gawkera pokazał, że nawet osoby rzekomo obeznane z technologią źle zarządzają swoją polityką haseł.
Morał z tej historii nie jest nowy ani jakoś szczególnie odkrywczy: ludzie nie są dobrzy w tworzeniu haseł. A dokładniej, ludzie są naprawdę beznadziejni w kwestii bezpieczeństwa w ogóle. Dlatego branża technologiczna i bezpieczeństwa muszą wziąć sprawy w swoje ręce. Nie można obwiniać użytkowników za wycieki danych – ani tych, które przyczyniły się do powstania tej listy, ani tych, które umożliwiły opublikowanie tysięcy intymnych zdjęć celebrytów.
Mogę Wam powiedzieć, a właściwie już kiedyś powiedziałem, jak utworzyć silne i łatwe do zapamiętania hasło. To naprawdę nie jest fizyka jądrowa. Każdy z Was dobrze czuje, co to jest silne hasło. Tak naprawdę mamy świadomość zagrożeń związanych ze słabymi hasłami i równocześnie bagatelizujemy ją; wiemy, jak tworzyć dobre hasła, ale jesteśmy zbyt leniwi, aby pamiętać wiele unikatowych fraz do różnych stron.
Dlatego próby podejmowane przez Twittera w postaci „Digits„, TouchID firmy Apple oraz inne pomysły wykorzystujące biometrykę, SMS-y czy weryfikację dwuetapową powinny być doceniane. Wiemy, że nie są doskonałe, ale pchają do eksperymentowania z nowymi formami autoryzacji, co potencjalnie może doprowadzić do porzucenia najbardziej niedoskonałej formy uwierzytelniania: haseł.