Jeszcze w 2022 roku Joanna pisała o liście najgorszych haseł przygotowywanej przez NordPass. Lata edukacji na temat cyberbezpieczeństwa na całym świecie najwyraźniej nie mają siły przebicia się do przeciętnego obywatela. Przed prawie 3 laty najpopularniejsze były hasła pokroju “password”, “123456” czy “qwerty”. NordPass zaktualizował tę listę i pod koniec 2024 roku… wyniki są dość podobne. W dalszym ciągu czołową dziesiątkę dominują hasła, które da się złamać w mniej niż sekundę, a oprogramowanie jest coraz bardziej wyspecjalizowane, także dzięki rozwojowi sztucznej inteligencji.
O hasła należy dbać, choć czasem nawet zachowania gigantów technologicznych do tego zniechęcają. W ubiegłym roku Meta została ukarana za przechowywanie haseł w pliku tekstowym. Zapewne było to jedną z motywacji do uruchomienia dwuskładnikowego logowania, przy którym należy potwierdzić swoje logowanie albo z pomocą drugiego urządzenia, albo kodu wysłanego na aplikację Whatsapp. Wycieki niestety są też coraz częstszym widokiem także w polskiej części internetu. Przykładem chociażby przypadek strony sklepbaterie.pl z artykułami AGD. Wyciekły dane ponad 200 tysięcy klientów.
Jak zawsze najlepszą praktyką w takim przypadku jest zmiana hasła, pod warunkiem, że nie decydujemy się na rozwiązania banalne. A jak pokazują badania na ponad 19 miliardach haseł, to bardzo częsty scenariusz.
Twoje hasło najpewniej jest za krótkie i za proste
Badacze z Cybernews ujawnili wyniki badań wycieków haseł z okresu kwietnia 2024 do kwietnia 2025 roku. W tym czasie doszło do wycieków z między innymi serwisu Snowflake zajmującego się przechowywaniem danych w chmurze, jak i SOCRadar.io z ponad 300 milionami adresów e-mail. W efekcie z różnych stron internetu do badaczy trafiło dokładnie 19 030 305 929 haseł ważących 2013 gigabajtów. Wystarczyło do tego 200 cyberincydentów.
Ponad 42% haseł wykorzystywanych przez ludzi ma od 8 do 10 znaków. Często są to minimalne długości wymagane przez strony intenetowe. Spośród całej puli 28% przypadków to hasło tylko z małymi literami i cyframi, a więc niejednokrotnie o mniejszym wysiłku podczas wpisywania. Gdy nie jest to wymogiem, część haseł potrafi mieć nawet 5 znaków. Znacząco wzrasta liczba haseł mających 15 znaków, co z jednej strony jest dobre, a z drugiej każe przypomnieć o górnym limicie długości na części stron internetowych.
W teorii mogłoby cieszyć, że również w 28% przypadków hasło zawiera litery w różnym rozmiarze oraz cyfry, a także kolejne 28% haseł z literami różnej wielkości, numerami i znakami specjalnymi. Okazuje się jednak, że nawet wymogi części stron internetowych nie motywują użytkowników do zrezygnowania z lenistwa. Sekwencja “1234” została znaleziona w ponad 727 milionach haseł (4%). Angielskie “Password” odnaleziono ponad 56 milionów razy, a “admin” -w 53 milionach przypadków. Problemem jest nie tylko to, że te frazy się pojawiają, ale że pomagają rozszyfrować także i trudniejsze hasła, gdy hackerzy zyskują sposób na rozszyfrowanie całego kodu zabezpieczającego bazy danych.
Tylko 6% wszystkich haseł można uznać za unikatowe. To mniej niż 8% przypadków, w których hasło zawiera imię. Globalnie najpopularniejsze jest niedługie “Ana”. Jeśli jest jednak jakieś szczęście w tym całym hasłowym nieszczęściu, to dość częste użycie słowa “love”. Angielska “miłość” pojawiła się w 87 milionach haseł. Nasza natura nie jest jednak pozbawiona i tej bardziej wulgarnej strony. W aż 165 milionach haseł jest miejsce dla “ass” (z angielskiego: dupa), choć ta fraza może po prostu być częścią słów “password”. Bardziej wyraźne przykłady to 16 milionów użyć słowa “fuck” lub “bitch” w 3,2 miliona przypadków.
Dwuskładnikowe logowanie to niezbędne minimum, ale jak nie uprzykrzać życia ludziom?
Z racji nietypowego zawodu wielokrotnie muszę logować się na nowo na urządzeniach i nie ma bardziej irytującej rzeczy niż przejście przez kilkuskładnikowe logowanie się do banku razem z podaniem PESEL-u, aliasu, telefonem ze zautomatyzowanego systemu, ustawieniem nowego PIN-u i wpisaniem kodu z SMS-a tylko po to, by dowiedzieć się, że przekroczyłem limit zaufanych urządzeń. To jeden z niewielu tak uciążliwych przypadków, a nikt nie chciałby stracić dostępu do konta bankowego, ale procedura pozostawia we mnie niechęć do korzystania z aplikacji na niektórych urządzeniach.
Z pewnością część użytkowników niemających na co dzień styczności z logowaniem na swoich urządzeniach może czuć się zniechęcona do jakichkolwiek zmian. Oczywiście producenci telefonów i twórcy przeglądarek coraz częściej proponują nam korzystanie z menedżerów haseł i to niejednokrotnie sporo upraszcza. Jest to jednak wyłącznie przerzucenie ciężaru wiedzy o hasłach na inne narzędzie, a nie faktyczne rozwiązanie problemu.
Przyszłością zdaje się wykorzystanie wskazań biometrycznych jako uniwersalnego klucza, z którego możemy skorzystać na wielu urządzeniach. Tu jednak przypomina się cytat Dwighta z amerykańskiego The Office i słynne już zdanie “Kradzież tożsamości to nie żart”. W przypadku dostania się hakerów do naszych danych biometrycznych nikomu raczej nie będzie do śmiechu. Warto zatem dla własnego spokoju nie powtarzać haseł na wielu serwisach, korzystać z co najmniej dwuskładnikowego logowania, a jeśli czujecie taką potrzebę, mieć przy sobie fizyczne klucze zabezpieczające.