21
lut
2021

Umów się na spotkanie: +48 535 202 564
Umów się na spotkanie: +48 535 202 564
Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 21 lutego 2021
W czerwcu 2020 r. przeprowadzono badanie, którego przedmiotem były wykorzystywane przez
użytkowników hasła służące do logowania się do różnych usług elektronicznych. Było to jedno
z największych tego rodzaju badań jakie do tej pory przeprowadzono. Obejmowało ono ponad miliard
skompromitowanych haseł!
Za realizacją badania stał student inżynierii komputerowej Ata Hakçıl, który poddał analizie loginy i hasła,
które wyciekły z różnych organizacji. Badanie było przeprowadzone w oparciu o bazę danych, która była
uzupełniana przez ponad 5 lat.
Do najbardziej interesujących wniosków wynikających z przeprowadzonego badania należą:
mniej niż 17 % haseł było unikalnych,
zbiór haseł zawierał więcej niż 7 milionów haseł o ciągu znaków „123456”,
średnia długość ciągu znaków w haśle to 9,48 znaków,
tylko 12% haseł zawierało specjalny znak np. @ lub &,
aż 29 % haseł składało się tylko z liter, a 13 % tylko z liczb.
Z pełnymi wynikami badania można zaznajomić się w zbiorach dostępnych na github
Zbiory skompromitowanych haseł, służących do logowania na co dzień, są publicznie dostępne w
Internecie i mogą zostać wykorzystane przez cyberprzestępców. Hakerzy w celu uzyskania dostępu do
konkretnego konta stosują automatyczne narzędzia wykorzystujące dostępne w Internecie bazy haseł,
słowa dostępne w słownikach, czy próbują siłą (znak po znaku) złamać hasło. Dlatego niezwykle ważne
jest stosowanie silnych haseł.
National Institute of Standards and Technology (NIST), w swoich wytycznych dotyczących haseł zaleca:
długość hasła nie powinna być krótsza niż 8 znaków;
hasło powinno składać się z liter (małych i dużych), liczb oraz powinno jeszcze zawierać symbole (znaki specjalne);
hasło powinno być unikalne, tj. nie powinno się go wykorzystywać w innych usługach;
najlepiej, aby hasła nie były zbudowane ze słów dostępnych w słownikach, co nie pozwoli złamać hasła metodą słownikową;
korzystać z menagerów haseł, które pozwalają zapamiętywać długie, skomplikowane hasła;
przy tworzeniu nowych haseł wspierać się generatorami losowych haseł;
tam gdzie to możliwe stosować dwuskładnikowe uwierzytelnianie.