Komunikat IOD-y – Jedno na 142 haseł to ciąg znaków “123456”. A czy Twoje hasła są bezpieczne?

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 21 lutego 2021

21

lut
2021

W czerwcu 2020 r. przeprowadzono badanie, którego przedmiotem były wykorzystywane przez
użytkowników hasła służące do logowania się do różnych usług elektronicznych. Było to jedno
z największych tego rodzaju badań jakie do tej pory przeprowadzono. Obejmowało ono ponad miliard
skompromitowanych haseł!

Za realizacją badania stał student inżynierii komputerowej Ata Hakçıl, który poddał analizie loginy i hasła,
które wyciekły z różnych organizacji. Badanie było przeprowadzone w oparciu o bazę danych, która była
uzupełniana przez ponad 5 lat.

Do najbardziej interesujących wniosków wynikających z przeprowadzonego badania należą:

  1. mniej niż 17 % haseł było unikalnych,

  2. zbiór haseł zawierał więcej niż 7 milionów haseł o ciągu znaków „123456”,

  3. średnia długość ciągu znaków w haśle to 9,48 znaków,

  4. tylko 12% haseł zawierało specjalny znak np. @ lub &,

  5. aż 29 % haseł składało się tylko z liter, a 13 % tylko z liczb.

Z pełnymi wynikami badania można zaznajomić się w zbiorach dostępnych na github

Zbiory skompromitowanych haseł, służących do logowania na co dzień, są publicznie dostępne w
Internecie i mogą zostać wykorzystane przez cyberprzestępców. Hakerzy w celu uzyskania dostępu do
konkretnego konta stosują automatyczne narzędzia wykorzystujące dostępne w Internecie bazy haseł,
słowa dostępne w słownikach, czy próbują siłą (znak po znaku) złamać hasło. Dlatego niezwykle ważne
jest stosowanie silnych haseł.

National Institute of Standards and Technology (NIST), w swoich wytycznych dotyczących haseł zaleca:

  1. długość hasła nie powinna być krótsza niż 8 znaków;

  2. hasło powinno składać się z liter (małych i dużych), liczb oraz powinno jeszcze zawierać symbole (znaki specjalne);

  3. hasło powinno być unikalne, tj. nie powinno się go wykorzystywać w innych usługach;

  4. najlepiej, aby hasła nie były zbudowane ze słów dostępnych w słownikach, co nie pozwoli złamać hasła metodą słownikową;

  5. korzystać z menagerów haseł, które pozwalają zapamiętywać długie, skomplikowane hasła;

  6. przy tworzeniu nowych haseł wspierać się generatorami losowych haseł;

  7. tam gdzie to możliwe stosować dwuskładnikowe uwierzytelnianie.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


jeden × pięć =