Mijają lata, przestepcy w sieci grasują niemal w każdym możliwym serwisie i usłudze, straty zwykłych użytkowników idą w miliony, cyberatakami zajmują się już największe stacje telewizyjne i portale i mowa jest o nich niemal codziennie. W tym samym czasie, kolejny rok z rzędu, na liście najpopularniejszych, wykorzystywanych haseł do usług mamy takie pozycje jak 123456.

Najnowszy raport dotyczący dwustu najczęściej wykorzystywanych haseł opublikowany został przez NordPass. Raport powstaje przy współudziale z niezależnymi badaczami bezpieczeństwa w sieci, specjaliści przeanalizowali 4TB danych. I wnioski są takie, jak w latach poprzednich. Skala cyberataków, straconych środków i szkód wywołanych przez przestępców w sieci użytkownikom zdaje się niestraszna. Wciąż na czele listy najczęściej używanych haseł w sieci są takie jak 123456, 123456789 i 12345. 

Idąc w dół listy wcale nie jest lepiej. Qwerty, password, 12345678, to kolejne pozycje na liście. Analizując wszystkie 200 pozycji dochodzimy do wniosku, że każde z kolejnych haseł jest w jakiś sposób związane z tymi najpopularniejszymi i są ich wariacjami, czasem słowami typu monkey, fuckyou, czy football, które również nie są raczej trudnymi do odgadnięcia. Wspomniane najpopularniejsze hasło na liście, 123456, pojawiło się w bazach danych w aż 103 milionach miejsc. Każde z pierwszych dziesięciu haseł na liście zostało zakwalifikowane przez specjalistów, jako do złamania w 1 sekundę. Z listy pierwszych pięćdziesięciu haseł jedynie jedno miało czas złamania dłuższy, niż 1 sekunda. 

Biorące udział w badaniu bazy danych z hasłami pochodzą z wycieków danych z różnych serwisów i na tej podstawie badacze ustalają popularność. Nawet biorąc pod uwagę fakt, że użytkownicy często zakładają konta w jakichś serwisach jednorazowo i trywialne do złamania hasła ustawiane są celowo, to jednak skala tego zjawiska może dziwić, a przede wszystkim dziwić może nonszalancja z jaką użytkownicy podchodzą do swojego sieciowego bezpieczeństwa. Według raportu najbardziej narażonymi na wycieki krajami są Stany Zjednoczone, Chile, Nowa Zelandia, Rosja, Włochy i Niemcy. To z tych krajów, a analiza dotyczyła 50, pochodziły najczęściej wycieki danych.

Nawet używając trywialnego hasła możemy być bezpieczni

Choć podstawowym zabezpieczeniem wielu usług i serwisów jest hasło to nawet ustawienie trywialnego do złamania ciągu znaków, jak w powyższych przykładach, nie musi oznaczać, że użytkownik nie może znacznie podnieść swojego bezpieczeństwa. Może to zrobić chociażby poprzez zastosowanie wieloskładnikowego uwierzytelniania. Atakujący wtedy, pomimo znajomości hasła, czy też jego odgadnięcia lub złamania, musiałby pokonać na swojej drodze jeszcze jedną, znacznie trudniejszą przeszkodę, którą jest podanie np. sześciocyfrowego kodu z aplikacji generującej takiej jak Google Authenticator, czy też musiałby posiadać fizyczny klucz U2F, jeśli taką metodą zabezpieczylibyśmy swoje konto. 

Fizyczny klucz U2F (Universal 2 Factor) to urządzenie przypominające swoim wyglądem pamięć zewnętrzną i tak też się z niego korzysta. Urządzenie to jest wpinane w port USB komputera. Skonfigurowane na stronie obsługującej takie uwierzytelnianie za pomocą klucza sprzętowego generuje parę kluczy, które tam też (w danym serwisie) są przetrzymywane. Powoduje to, że klucza możemy teoretycznie użyć na nieskończonej ilości serwisów. Po skonfigurowaniu go, przy próbie logowania serwis w którym mamy konto wysyła tzw. challenge, który zostaje podpisany przez nasze urządzenie i wysłany z powrotem. Nasz klucz współpracuje bezpośrednio z przeglądarką co czyni go niepodatnym na ataki typu keylogger czy phishing. O takich zabezpieczeniach (między innymi) pisaliśmy w październiku, przy okazji Europejskiego Miesiąca Cyberbezpieczeństwa.

{loadmoduleid 1123}