Internet

Wciąż ten sam błąd – ustawiamy hasła, które da się złamać w sekundę

przeczytasz w 2 min.

Hasła chronią dostępu do naszych kont. Z jakiegoś powodu wierzymy, że hasło „123456” albo „hasło” zrobi to skutecznie.

Czy hasła to dla nas wciąż czarna magia?

Czy praca zdalna i hybrydowa przyczyniła się do świadomości użytkowników odnośnie do zagrożeń czyhających w sieci? Może tak, ale faktem jest, że wciąż popełniamy błędy w podstawowej kwestii, jaką są mocne hasła. Nawet jeśli znamy zasady, to nie zawsze się ich trzymamy – jak pokazuje kolejna edycja badania przeprowadzonego przez NordPass. 

Miliony osób ustawiają haseł, które da się złamać w mniej niż sekundę

Eksperci z NordPass przeanalizowali „ważące” 3 terabajty bazy haseł, które udało się złamać. Na tej podstawie udało się ustalić, które powtarzają się najczęściej. Słowem – jakie są najgorsze hasła: często używane i bez większych problemów przechwytywane przez osoby trzecie. 

Absolutnym numerem jeden okazało się „password” – to (nomen omen) hasło tylko w opisywanej bazie znalazło się prawie 5 milionów razy. Tymczasem jego złamanie zajmuje aktualnie mniej niż jedną sekundę. Tyle samo cyberprzestępca potrzebuje, by złamać kolejne hasło z rankingu: „123456”. Nie myśl też, że dopisanie kolejnych trzech cyfr coś zmienia – stające na najniższym stopniu podium „123456789” również da się odkryć w niespełna sekundę. Co było dalej…?

Najgorsze hasła 2022 roku:

  1. password (do złamania w <1 s)
  2. 123456 (do złamania w <1 s)
  3. 123456789 (do złamania w <1 s)
  4. guest (do złamania w 10 s)
  5. qwerty (do złamania w <1 s)
  6. 12345678 (do złamania w <1 s)
  7. 111111 (do złamania w <1 s)
  8. 12345 (do złamania w <1 s)
  9. col123456 (do złamania w 11 s)
  10. 123123 (do złamania w <1 s)
  11. 1234567 (do złamania w <1 s)
  12. 1234 (do złamania w <1 s)
  13. 1234567890 (do złamania w <1 s)
  14. 000000 (do złamania w <1 s)
  15. 555555 (do złamania w <1 s)
  16. 666666 (do złamania w <1 s)
  17. 123321 (do złamania w <1 s)
  18. 654321 (do złamania w <1 s)
  19. 7777777 (do złamania w <1 s)
  20. 123 (do złamania w <1 s)
  21. D1lakiss (do złamania w 3 h)
  22. 777777 (do złamania w <1 s)
  23. 110110jp (do złamania w 3 s)
  24. 1111 (do złamania w <1 s)
  25. 987654321 (do złamania w <1 s)

Jeżeli myślisz, że „1q2w3e4r” jest bardziej pomysłowe, to… nie – nie jest (znajduje się na 32. miejscu). Z kolei „iloveyou” na 43., a „1qaz2wsx” na 55. Wymagającym najdłuższego łamania hasłem w zestawieniu TOP 200 jest natomiast „marseille” z miejsca 168. – to wciąż jednak tylko 1 dzień. 

Co robimy źle?

Co jest złego z tymi wszystkimi hasłami? Cóż, łamią one podstawowe zasady. Po pierwsze: są strasznie krótkie – tak naprawdę długość hasła odgrywa bowiem kluczową rolę. Dobre hasło powinno mieć kilkanaście, a najlepiej jeszcze więcej znaków. 

hasła
ilustracja: XKCD (CC BY 2.5)

Po drugie: są łatwe do odgadnięcia, bo zawierają albo naturalne ciągi znaków na klawiaturze, albo też są prawdziwymi, istniejącymi wyrazami. To też poważny błąd. Dobre hasło powinno być – owszem – łatwe do zapamiętania, ale trudne do odgadnięcia. 

Oczywiście to wszystko zależy… 

Czym innym jest oczywiście hasło do konta bankowego, a czym innym – do serwisu, do którego chcemy się zalogować raz i więcej do niego nie wracać. Wiara, że podane w tym raporcie hasła dotyczą tylko tej drugiej sytuacji, byłaby chyba jednak oznaką naiwności. 

Źródło: NordPass, Softpedia

Komentarze

28
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Bazyliszek
    5
    problem w tym, że obecnie mamy za dużo miejsc, gdzie trzeba używać hasła. W efekcie ludzie potrzebują czegoś co da się w miarę zapamiętać.

    Patrząc na siebie:
    - 9 maili (oficjalny do spraw urzędowych, dwa dla znajomych, jeden do zakupów i reklamacji, przynajmniej dwa do gier, jeszcze ze dwa do portali społecznościowych, a i jeden do googla do komórki)
    - kilka haseł do serwisów z grami
    - kolejne do banku, do wifi
    jeszcze parę by się znalazło
    • avatar
      HD4870
      5
      Nawet najprostszego hasła które ma 3 litery nie można złamać. O ile się wcześniej nie włamie na system i wykradnie z niego plik z hashami haseł, bo tylko wtedy można puścić atak brute-force. W przeciwnym razie jest się ograniczonym do kilku prób, po czym konto zostanie zablokowane. Więc cały ten szum o tym żeby stosować kosmicznie długie hasła jest zwykłym bełkotem. Nie dajcie się zwariować. Nie ma nic gorszego niż długie, skomplikowane hasło którego zapomnisz po 5 minutach.
      • avatar
        Naruto1
        4
        Ustawiasz długie trudne hasło a potem łapiesz keyloggera albo instalujesz niby legitną apkę, która po tygodniu okazuje się trojanem bankowym...
        • avatar
          EgzoPro
          2
          Moje pytanie to czy te konta są aktywne, czy też to tzw. chwilowe konta testowe, wiele osób dla jakiś chwilowych bądź testowych kwestii zakłada konta z takimi hasłami.
          • avatar
            Rangeros
            2
            zastanawia mnie co takiego miałyby łamać te mityczne programy do łamania? Chcecie mi powiedzieć, że włamywacze 1000 razy na sek próbują się zalogować do serwisu bankowego, email albo na benchmark.pl a strona radośnie zgłasza komunikat "incorrecct password and try again"?!
            • avatar
              Diuran
              2
              W samej robocie mam 7 loginów i haseł. Hasła te same i co miesiąc każą je zmieniać. Tylko zmieniam cyfrę na końcu jak mam xxxx001 i dalej xxxx002 i tak do xxxx010 i znowu z powrotem do 001 a do tego jeszcze musieliśmy ich apkę zainstalować do weryfikacji i sms kod do tego jeszcze ehh masakra
              • avatar
                Obiektor
                2
                wymyslasz na poczekaniu slowo z tylka typu karminodrin i dajesz K4rM1n0Dr1N
                • avatar
                  Naruto1
                  2
                  "Z jakiegoś powodu wierzymy, że hasło „123456” albo „hasło” zrobi to skutecznie."

                  Z ciekawości - na którym miejscu jest hasło "hasło"?
                  • avatar
                    piotr.potulski
                    2
                    Artykuł aż kłuje w oczy uproszczeniami. Pierwszy problem, to jak to hasło ma być "odgadywane"? Brute force z nielimitowaną liczbą prób? Atak rainbow tables na podstawie wyciekniętych, niesolonych haszy robionych jakimś popularnym, prymitywnym algorytmem? Jeżeli jakiś serwis umożliwia dokonywanie prób zalogowania się, bez żadnych ograniczeń, to problem leży bardziej po stronie serwisu. Jeżeli hasła przechowywane są w sposób niebezpieczny, to też jest to wina serwisu.
                    Znacznie bezpieczniej jest zainstalować sobie jakiś manager haseł, zabezpieczyć go porządnym hasłem, najlepiej z włączonym MFA, a całą resztę usług zabezpieczać hasłami generowanymi przez managera haseł. W ten sposób niedbalstwo jakiejś stronki nie daje atakującym dostępu do wszystkich naszych kont wszędzie. Druga ważna rada, to używanie konta mailowego, które da się dobrze zabezpieczyć - MFA, wielokanałowe procedury odzyskiwania hasła. Silne hasło jest silne jedynie wtedy, gdy jest dobrze zabezpieczone po stronie usługi. Trzeba też uważać na miejsca, w których hasła z założenia można "testować" wiele razy, np. archiwa, szyfrowane wolumeny itd. Chociaż te narzędzia robią akurat ludzie z głową (najczęściej) i wstawiają bezpieczne i kosztowne obliczeniowo/pamięciowo algorytmy generowania skrótów.
                    • avatar
                      xmexme
                      1
                      "Co robimy źle?" korzystamy ze stron i usług które pozwalają na odgadywanie haseł.
                      Hasło 12345678 jest niemal tak samo mocne jak #sdfiu)(K.
                      Po co powtarzać te brednie po innych. Nie lepiej się zająć tym że szablony stron z których korzystają wszyscy słabo lub wcale nie zabezpieczają użytkowników przed odgadnięciem hasła.
                      • avatar
                        Wenezo
                        1
                        Ustaw super hasła a i tak zostaną sprzedane na czarnym rynku:D a Ty się piernicz z każdym hasłem.
                        • avatar
                          adam9002
                          1
                          Nikt z Was nie powie głośno że redakcja serwisu Benchmark kupiła powyżej podane hasła od hakerów
                          • avatar
                            PerfectDAY
                            0
                            Używam hasła numer 6 na benchmarku i jeszcze nikt mi się nie włamał więc uważam je za bezpieczne.
                            • avatar
                              Kasuja Wpisy Automatem
                              0
                              pusty ten pseudo artykuł jak co roku :( krótkie generowane hasła są bez sensu, ciężkie do zapamiętania więc je gdzieś notujemy. a na bruteforce i tak są za krótkie, bo po słowniku się poleci i jest. na GPU łamie się szybciej, i to znacznie szybciej.

                              za to nie ma sensownego wyjaśnienia, jak zrobić łatwe dla nas dłuższe hasło które będzie jednocześnie dobre.
                              ale tu uwaga. trzeba sprawdzić, jak długie hasła efektywnie przetwarza system do którego je używamy. nadal są systemy, które z podanego hasła obcinają początek 20 znaków, lub w skrajnych przypadkach nawet 8 znaków, i z niego generują 'klucz' który później służy do weryfikacji hasła.

                              więc jak ustawimy hasło
                              abcdefghijklmnopq , to sprawdźmy czy działa hasło
                              abcdefgh , i to już jest sygnał jak słaby jest dany system. dla dłuższych haseł, sprawdziłbym też czy niewpisanie ostatniego znaku hasła umożliwia zalogowanie. to też zły objaw.