Nyilvánosak a leggyakoribb jelszavak
Annyi helyen kell jelszót megadnunk, hogy sokszor csak arra törekszünk: könnyen megjegyezhető legyen. Pedig nagy veszélye lehet az egyszerű jelszónak.
Az internetezők egy jelentős hányada nem törődik a bizalmas adatai védelmével, és pofonegyszerű jelszavakat használ. Ez ma veszélyes taktika. Egy adat- és behatolásvédelemmel foglalkozó amerikai vállalkozás vizsgálata szerint az elmúlt húsz évben nem sokat javult a számítógép-használók által választott jelszavak komolysága, sokan – a támadásokról szóló riasztó hírek szaporodása ellenére is – a digitális kulcsaikat is a lábtörlő alatt tartják. A webkorszak hajnalán a legnépszerűbb jelszó az „12345” volt, ma az „123456”.
Az Imperva 32 millió valós belépési kód elemzését végezte el – írja az eredményekről beszámoló New York Times. A jelszavakat egy ismeretlen hacker szerezte meg decemberben a közösségi szájtokhoz alkalmazásokat fejlesztő RockYou adatbázisából, majd publikálta rövid időre az interneten. A terjedelmes listát nemcsak hackerek, hanem biztonsági szakemberek is letöltötték – ilyen méretű statisztikai korpuszhoz ugyanis ők is ritkán jutnak hozzá. (A hanyag adatvédelmi gyakorlata miatt korábban már támadott RockYou az incidens után a kiszivárgott jelszavaik megváltoztatására kérte ügyfeleit.)
A statisztika szerint a 32 millió felhasználó 1 százaléka az „123456” számsort használta jelszóként, míg a második legnépszerűbb kód az „12345” volt. A jelszó-gyakorisági 10-es toplista a következőképpen fest:
- 123456
- 12345
- 123456789
- password
- iloveyou
- princess
- rockyou
- 1234567
- 12345678
- abc123
Amichai Shulman, az Imperva műszaki igazgatója a lapnak elmondta: még aggasztóbb, hogy a felhasználók körülbelül 20 százaléka (tehát több mint 6 millió ember) egy viszonylag jól körülhatárolható, 5000 jelszavas készletből választott. Ez pedig azt jelzi, hogy a hackereknek könnyű dolga van: elég a leggyakoribb kombinációkat végigpróbálgatniuk. „Hajlamosak vagyunk azt gondolni, hogy a jelszavak kitalálása rendkívül időigényes, hogy egy ilyen támadáshoz minden felhasználói fiók esetében rengeteg név és jelszó kombinációt kell végigjátszani. De a helyzet az, hogy a leggyakoribb jelszavakkal igen hatékonyak lehetnek a támadók” – magyarázta Shulman.
A webes szolgáltatások egy része az ilyen támadásokat a fiókok átmeneti letiltásával próbálja megakadályozni, de ez nem minden esetben jó megoldás: az eBayen például egy ideiglenes blokkolás miatt árveréseket bukhat a felhasználó. Az automata próbálkozások ellen a másik leggyakoribb védekezés a CAPTCHA.
A szakértők azt mondják: érthető, hogy ma, amikor rengeteg kódot kell a fejünkben tartani, igyekszünk egyszerűen megjegyezhető kombinációkat választani. Egy biztonsági szempontból ideális világban minden weboldalhoz, minden szolgáltatáshoz más-más jelszót használnánk, de a szakemberek szerint az is elég, ha legalább kettőt választunk: egy egyszerűbbet azokhoz a szájtokhoz, ahol nem nem tárolunk visszaélésre alkalmas, bizalmas adatokat, és egy komplexebbet azokhoz, melyeken igen (például banki weboldalak és levelezés).