Ciekawostki

Znamy najgorsze hasła. Lata mijają, nie zmienia się nic

przeczytasz w 2 min.
Wojciech Kulik | Redaktor serwisu benchmark.pl
11 komentarzyDyskutuj z nami

Dobre hasło to podstawa bezpieczeństwa w internecie. Słabe hasło to proszenie się o kłopoty. I najnowszy ranking NordPass pokazuje, że wciąż miliony użytkowników się o nie proszą.

Używanie słabego, łatwego do odgadnięcia hasła, można przyrównać do zamykania mieszkania na zasuwkę zamiast korzystania z zamka na klucz. Niby jest zamknięte, ale sforsowanie takiego zabezpieczenia jest niezwykle proste, a liczenie na to, że złodziejowi nie będzie się chciało sprawdzać, jest w najlepszym wypadku naiwne. Tymczasem okazuje się, że nic się nie zmienia i wciąż nierzadko korzystamy z bardzo słabych haseł. 

Najgorsze hasła 2023. Nie zmienia się nic

Firma NordPass co roku przedstawia ranking najgorszych haseł. To zestawienie najczęściej powtarzających się haseł spośród tych, które trafiły w niepowołane ręce. Pierwszą dziesiątkę w 2023 r. tworzą:

  1. 123456
  2. admin
  3. 12345678
  4. 123456789
  5. 1234
  6. 12345
  7. password
  8. 123
  9. Aa123456
  10. 1234567890

Ranking jest globalny i w Polsce pewnie hasło „password” nie należy do szczególnie popularnych. Nawet ważniejsza niż same ciągi znaków jest tutaj jednak pewna tendencja. Wprowadzanie logicznie następujących po sobie znaków (na przykład kolejnych cyfr albo liter tworzących prawdziwe słowa) jest proszeniem się o kłopoty, a widać, że to właśnie takie hasła dominują. 

Jakie powinno być dobre hasło? Jak je stworzyć?

A zatem jakie powinno być dobre hasło? Oto siedem ważnych zasad:

  • Po pierwsze: unikalne (nie stosuj tego samego hasła w dwóch różnych miejscach)
  • Po drugie: długie (najlepiej, gdy hasło ma min. 15 znaków – im dłuższe, tym trudniejsze do złamania)
  • Po trzecie: oryginalne (dobrze, gdy hasło nie jest pojedynczym wyrazem słownikowym)
  • Po czwarte: zróżnicowane (warto stosować małe i duże litery oraz cyfry i znaki specjalne)
  • Po piąte: nieosobiste (hasło nie powinno zawierać osobistych informacji, takich jak imiona czy daty)
  • Po szóste: łatwe do zapamiętania, ale też…
  • Po siódme: trudne do odgadnięcia

Ile czasu potrzeba, by złamać hasło?

Ciekawostką jest to, że NordPass podaje, ile czasu potrzeba na złamanie poszczególnych haseł z rankingu. Na wszystkie te, które znajdują się w pierwszej dziesiątce, nie potrzeba nawet jednej sekundy. Warto przy tym zaznaczyć, że na jedenastym miejscu znalazło się hasło UNKNOWN, które może i nie jest szczególnie wyszukane, ale i tak wydłuża czas łamania do 17 minut. 

najgorsze hasła 2023

Aby złamać Eliska81 (miejsce 40.) potrzeba 3 godz., a na admintelecom (54. miejsce) – już 23 dni. W tym drugim przykładzie wyraźnie widać większą liczbę znaków oraz brak pojedynczego wyrazu słownikowego. Jeszcze bardziej wydłużając to hasło i dodając inne znaki można by wydłużyć ten czas na tyle, by stało się ono praktycznie niemożliwe do złamania. 

Nie tylko hasło. Nie bądź jak Donald Tusk i zadbaj też o bezpieczny kod PIN

Na telefonach – i nie tylko na nich – rolę haseł często przejmują kody PIN. Te także powinny reprezentować odpowiednio wysoki poziom. Podczas listopadowych obrad sejmu RP dużym echem odbiło się nagranie z Donaldem Tuskiem w roli głównej. Widzimy na nim jak lider Koalicji Obywatelskiej odblokowuje telefon kodem „555555”. Może i jest to szybka metoda, ale na pewno nie jest bezpieczna. Kiepskie hasło Tuska opisywane było w serwisie dobreprogramy.pl.

Kod PIN powinien być bardziej skomplikowany. Najlepiej zaś w ogóle zastąpić go inną metodę weryfikacji. Telefony coraz częściej umożliwiają potwierdzanie tożsamości poprzez odcisk palca lub skan twarzy – tego typu zabezpieczenia są zdecydowanie mocniejsze. 

Uwierzytelnianie dwuskładnikowe – jeszcze lepszy pomysł

Wracając zaś do haseł – bardzo dobrym pomysłem jest stosowanie weryfikacji dwuetapowej. Polega ona na tym, że po wpisaniu hasła trzeba jeszcze uwierzytelnić się w inny sposób. To może być przepisanie jednorazowego kodu przesłanego SMS-em lub e-mailem albo skorzystanie z fizycznego klucza U2F – urządzenia przypominającego pendrive, a znacząco poprawiającego prywatność. 

Źródło: TechSpot, NordPass, inf. własna

Przeczytaj także:

Komentarze

11
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Wasek
    1
    W dzisiejszych czasach silne hasła nie mają znaczenia bo wszyscy i tak rozdajemy dane na prawo i lewo bez dostępu do naszych kont. ;)
    • avatar
      GejzerJara
      1
      co wy z tym Tuskiem ? po prostu pokazał jak nie należy robić z pinem :)
      • avatar
        xmexme
        0
        Tak tak, lata mimają i nie zmienia religia haseł. Dalej wszyscy wierzą że winne sat hasła a nie żlle zaprojektowane mechanizmy logowania. Np. z matematycznego punktu widzenia i dla mnie też hasło 123 jest tak samo trudne do odgadnięcia jak $;'?_7!3hdyJdu()83-&_$. Pod warunkiem że usługa logowania nie ogranicza nam długości hasła, nie zmusza do używania danych znaków i innych reguł. To ustalone z góry reguły ułatwiają odgadnięcie hasła a nie hasło samo w sobie. Innym stosowanym powszechnie ułatwieniem jest nie blokowanie ilości błednych prób w czsie które powinny być automatycznie uzależnione od złozonosci hasła. Dla hasła 123 ilość błednych prób można ograniczyć np do 1 w ciągu kwartału roku a dla mocniejszych haseł odpowiednio mnie mniejsze restrykcje które matematycznie obliczyć aby osiagnąć żadany poziom trudności. Czy na prawdę wszyscy jesteśmy tacy głupi aby powtarzać te brednie że to hasła są złe a nie ludzie programuja tworzą usługi wymagające ograniczenia dostępu?
        Nie wierzę w to że takie korporacje jak Google MS i inni o tym nie wiedzą. Dla nich po prostu jest na rękę wciskanie ciemnocie takich teoriiwzamian za zbieranie dodatkowych danych o osobie jak numery telefonów dodatkowe adresy e-mail dane osobiste i wszystkiego co się da ciemnocie wcisnąć pod pretekstem że to dla waszego dobra.
        A benchmark grzecznie propaguje dalej tą religie.
        • avatar
          assistant
          0
          A takie są fajne hasła np
          Pizdancja i cyfry znaki
          Może być kaszanka bo się dobrze kojarzy

          Aj ludzie a potem ofiara bo ukradli.
          Za nieodpowiednie zabezpieczenie wartości materialnych też jest paragraf
          • avatar
            xmexme
            0
            Jak poprawić swój własny post z błędów tworzony na kolanie z telefonu? Benchmark.pl nie pozwala więc wrzucam duplikat :-P

            Tak tak, lata mijają a religia haseł pozostaje niezmienna. Dalej wszyscy wierzą że winne są hasła a nie źle zaprojektowane mechanizmy logowania. Z matematycznego punktu widzenia i dla mnie też hasło 123 jest tak samo trudne do odgadnięcia jak $;'?_7!3hdyJdu()83-&_$. Pod warunkiem że usługa logowania nie ogranicza i nie wymusza długości hasła, używania danych znaków i innych reguł. To ustalone z góry reguły ułatwiają odgadnięcie hasła a nie hasło samo w sobie. Następnym stosowanym powszechnie ułatwieniem jest nie blokowanie ilości błędnych prób w czasie co powinno to być automatycznie uzależnione od złożoności hasła. Dla hasła 123 ilość błędnych prób można pn. ograniczyć do 1 w ciągu kwartału a dla mocniejszych haseł odpowiednio mniej np. 10 prób na 10min.
            Poziom restrykcji można matematycznie ustalić aby osiągnąć żądany poziom trudności.
            Czy na prawdę wszyscy jesteśmy tacy naiwni aby powtarzać te brednie że to hasła są złe a nie ludzie programujący usługi wymagające ograniczenia dostępu?
            Nie wierzę w to że takie korporacje jak Google, MS i inni o tym nie wiedzą. Dla nich jest na rękę utrzymywanie przy życiu takich teorii bo w zamian mogą zabierać dodatkowe dane takie jak numery telefonów dodatkowe adresy e-mail dodatkowe dane osobiste i wszystko co się da wcisnąć lemingom pod pretekstem że to dla waszego dobra i bezpieczeństwa.