39

Password zdetronizowany, małpa w dół. Co słychać w rankingu najgorszych haseł?

Kilkanaście miesięcy temu opublikowałem tekst, w którym przywołałem ranking najsłabszych haseł stosowanych przez internautów. Wówczas moją uwagę przyciągała przed wszystkim pozycja numer 6 z owej listy: monkey. Do dzisiaj nie wiem, czemu małpa zawędrowała tak wysoko (może właśnie sam sobie odpowiedziałem: bo taka natura tego zwierza), ale w najświeższym zestawieniu nie udało jej się utrzymać […]

Kilkanaście miesięcy temu opublikowałem tekst, w którym przywołałem ranking najsłabszych haseł stosowanych przez internautów. Wówczas moją uwagę przyciągała przed wszystkim pozycja numer 6 z owej listy: monkey. Do dzisiaj nie wiem, czemu małpa zawędrowała tak wysoko (może właśnie sam sobie odpowiedziałem: bo taka natura tego zwierza), ale w najświeższym zestawieniu nie udało jej się utrzymać świetnego miejsca. Co jeszcze można napisać o najgorszych hasłach roku 2013?

Przywołana we wstępie małpa (a właściwie monkey – polskie tłumaczenie ma małe szanse, by wspiąć się tak wysoko) spadła w rankingu z miejsca szóstego na siedemnaste. Trudno stwierdzić, czy to po prostu gorszy sezon (w roku 2011 monkey również było na miejscu szóstym), czy ludzie na dobre odchodzą od tego hasła, ale paradoksalnie małpa zyskuje dzięki tym spadkom – staje się bezpieczniejszym hasłem. Przynajmniej wg omawianej listy stworzonej przez SplashData. W roku 2012 spore wrażenie zrobiły na mnie jeszcze hasła jesus, letmein oraz ninja. W poprzednim roku też pojawiły się mocne propozycje? Owszem – wystarczy wspomnieć o nowościach takich jak admin (miejsce 12) oraz princess (22). Sporym powodzeniem cieszyły się też adobe123 (10 pozycja) oraz photoshop (15). Skąd ich popularność?

Ranking najgorszych, czyli najbardziej popularnych haseł powstał w oparciu o dane, które zostały skradzione i trafiły do Sieci. W ubiegłym roku poważną wpadkę i wyciek danych zaliczyła korporacja Adobe Systems, więc twórcy zestawienia w znacznym stopniu bazowali na ich danych. To wątek warty uwagi, ponieważ widać czarno na białym iż wielu użytkowników nowych technologii korzysta z haseł związanych z nazwą strony czy aplikacji, na których powstało zabezpieczane konto. Nie trzeba być specjalistą od bezpieczeństwa, by stwierdzić, że nie jest to rozsądne posunięcie…

WorstPasswords-2013

Wiele osób zastanawia się pewnie, które hasło znalazło się na szczycie listy. W roku 2012 było to słowo password. Co ciekawe, w poprzednich zestawieniach również dzierżyło ono palmę pierwszeństwa. Tym razem musiało jednak ustąpić pola innemu mocnemu zawodnikowi: na pozycję lidera wskoczyła z drugiego miejsca kombinacja 123456. Na podium znalazło się jeszcze rozszerzenie miejsca pierwszego: 12345678. Potem mamy tak mocnych zawodników, jak qwerty oraz abc123. To chyba stali bywalcy rankingów tego typu. To samo można napisać o kilku kombinacjach liczbowych. Warto wspomnieć, że miejsce małpy zajęła np. „nowość liczbowa” 123456789. Wśród popularnych nowinek znalazły się także 1234, 12345, 1234567890 czy 000000. Co z tego wynika?

Patrzyłem na wspomniane hasła przez dłuższą chwilę i z niedowierzaniem kręciłem głową: ludzie nie słuchają tego, co się do nich mówi i nie uczą się na błędach (swoich lub cudzych). Jeżeli w czołówce rankingu od dobrych kilku lat występują te same hasła, nie świadczy to najlepiej o wykorzystujących je użytkownikach. Nowe, niezbyt skomplikowane kombinacje również dają jasno do zrozumienia, iż ludzie nie stosują się do zaleceń speców od bezpieczeństwa. Może i przestają używać słowa password, ale zastępują je ciągiem 1234 – trudno uznać to za poważny progres.

Zastanawiając się nad tą sytuacją i brakiem reakcji niektórych ludzi korzystających ze słabych haseł, pomyślałem o niedawnym tekście Marcina, w którym pisał o farmingu na Facebooku. Po jego publikacji nie brakowało opinii, że ludzi nie można obrażać, że to zwyczajne podgrzewanie nośnego tematu, że przecież nic strasznego się nie stało, gdy ludzie lajkowali jakiś profil na FB. Pisząc krótko: nie ma tematu (a już na pewno nie w takiej formie) i szkoda na niego czasu. Trudno zgodzić się z tymi zarzutami, ponieważ do ludzi można dzisiaj dotrzeć chyba jedynie poprzez wstrząs – powtarzanie, iż hasło „password” nie jest bezpieczne nie przynosi skutku (albo przynosi w mizernym wymiarze), więc trzeba przemówić do internautów innym tonem. Jeżeli ktoś przeczyta, że jest idiotą, bo korzysta z takiego zabezpieczenia, to może je zmieni. Wszak bycie idiotą nie jest fajne. Chyba, że ostatnio coś się zmieniło, a ja działam jeszcze według starych schematów…

Przyznam, iż stosowane przeze mnie hasła nie należą do grona tych arcytrudnych – gdyby rozgarnięta w temacie osoba postanowiła je złamać, to pewnie misję zakończyłaby sukcesem. Całkowicie bezpieczny pod tym względem nie jestem i zdaję sobie z tego sprawę. Jednocześnie jednak nie narażam się na ośmieszenie, które mógłby mi zapewnić uczeń podstawówki wpisujący do ramki kolejne hasła z listy tych najpopularniejszych. To już coś.

Ostatecznie może oczywiście pojawić się argument, iż przywołany ranking powstał w oparciu o dane, które wyciekły do Sieci – nie z winy użytkowników, ale np. firm dostarczających konkretne usługi. W takim przypadku nie ma różnicy czy używa się mocnego czy słabego hasła – efekt podobny. To prawda, lecz mowa o sytuacji ekstremalnej. Dobre hasło nie uchroni przed atakiem hakerów, ale może uratować przed wścibskim kolegą z pracy czy sąsiadem. Osiągane korzyści są całkiem spore, podczas gdy wysiłek trudno uznać za demotywujący.

Źródła informacji oraz grafik: splashdata.com, tested.com