Początek roku to zazwyczaj też okres różnych raportów i podsumowań. Dziś chciałbym Wam przedstawić „ranking” najgorszych (i zarazem najpopularniejszych) haseł w 2013(!), który ukazał się w serwisie SplashData…

Najgorsze (i najpopularniejsze) hasła 2013

Ranking powstał m.in. na podstawie dostępnych wycieków loginów i haseł z różnych serwisów, w tym z dużego wycieku z firmy Adobe, stąd zapewne też spora popularność hasła „photoshop”:

PozycjaHasłoZmiana względem 2012
1123456+1
2password-1
312345678Bez zmian
4qwerty+1
5abc123-1
6123456789Nowe w zestawieniu
7111111+2
81234567+5
9iloveyou+2
10adobe123Nowe w zestawieniu
11123123+5
12adminNowe w zestawieniu
131234567890Nowe w zestawieniu
14letmein-7
15photoshopNowe w zestawieniu
161234Nowe w zestawieniu
17monkey-11
18shadowBez zmian
19sunshine-5
2012345Nowe w zestawieniu
21password1+4
22princessNowe w zestawieniu
23azertyNowe w zestawieniu
24trustno1-12
25000000Nowe w zestawieniu

123456 password

Z rankingu też widać, że na samym szczycie bez większych zmian – hasło „123456” awansował o jedną pozycję na 1 miejsce, a tym samym hasło „password” spadło na 2 pozycję. Na 3 miejscu bez zmian – bardziej rozwinięta wersja zwycięzcy, czyli „12345678”.

Największy awans zaliczyły 2 hasła: „1234567” (+5, na pozycję 8) i „123123” (+5, na pozycję 11). Największe spadki w rankingu to hasła „trusno1” (-12, na pozycję 24) i „monkey” (-11, na pozycję 17).

Bezpieczne hasło

Zastanawiałem się czy przygotować ten punkt – w końcu informacji, jak stworzyć relatywnie bezpieczne hasło i internecie jest tyle, że chyba każdy zainteresowany znajdzie coś dla siebie… Ale uznałem, że „wbijania do głowy” tego typu informacji nigdy za wiele, tak więc:

Wykorzystaj wierszyk lub powiedzenie

Dobrym sposobem na przygotowanie dobrego hasła, które zarazem nie będzie na tyle trudne by trzeba było je zapisywać na żółtej karteczce obok monitora (;-)) będzie wykorzystanie jakiegoś wierszyka czy powiedzenia. Oczywiście nie całego, bo starczy 8-10 znaków.

I tak np. powiedzenie:

Gdzie kucharek sześć, tam nie ma co jeść

można spróbować przerobić np. na takie hasło:

Gk6,tnmcj!

(Gdzie kucharek sześć 6, tam nie mcjeść [!])

Cyfry zamiast liter

Inny sposobem – choć sporo programów/skryptów służących do łamania haseł sprawdza też i takie podmiany, więc nie bazowałbym tylko na tej metodzie – jest podmiana liter na odpowiadające im wizualnie cyfry, np.:

  • i/I -> 1
  • s/S -> 5
  • z/Z -> 2
  • o/O -> 0
  • b -> 6
  • B -> 8

Indywidualne hasło do każdego serwisu/usługi

Nawet najlepsze hasło nic nie da, jeśli będziemy wszędzie korzystali z tego samego hasła – w przypadku wycieku danych z jednego serwisu/usługi, automatycznie ujawnione zostanie nasze hasło do pozostałych serwisów.

W tym przypadku można spróbować różnych metod „dodawania znaków”, które kojarzą się z danym serwisem do naszego „hasła bazowego”. Warto też spróbować jakoś zaciemnić taki dodatek, tak by nie wyglądało to zbyt oczywiście, np.:

  • Usługa1: Gk6,tnmcj!Usługa1
  • Serwis2: Gk6,tnmcj!Serwis2
  • Usługa3: Gk6,tnmcj!Usługa3

;-)

Menedżery haseł

Sporą popularnością cieszą się też przeróżne menedżery haseł, czyli programy które wspierają nas w generowaniu unikatowych haseł do różnych usług/serwisów. W tym przypadku wystarczy pamiętać jedno główne hasło do samego programu, które też chroni dostęp do pozostałych haseł.

Obecnie takie programy oferują m.in. integracje z systemem (różnymi programami, przeglądarkami internetowymi), co sprawia, że korzystanie z nich jest jeszcze prostsze i szybsze. Ważnym elementem takich programów jest również synchronizacja danych, nie tylko między różnymi komputerami, ale i np. smatfonem.

Uwierzytelnienie dwuskładnikowe (2FA)

Jeśli serwis z którego korzystacie oferuje opcję uwierzytelnienia dwuskładnikowego, nie ma co się zastanawiać – należy ją aktywować. Najczęściej będzie to w formie programowego tokena instalowanego na telefonie, rzadziej w formie wiadomości SMS (oczywiście poza bankami), czy hasła przesyłanego na adres e-mail. Są jeszcze tokeny sprzętowe, ale to raczej niszowe rozwiązanie aktualnie – przynajmniej w segmencie o którym tutaj mowa.

YubiKey

Inną alternatywą – choć na razie relatywnie mało popularną, przynajmniej z tego co widzę „po znajomych” – są urządzenia YubiKey, które po podpięciu do portu USB komputera potrafią przekazać do aplikacji/serwisu/usługi odpowiednie hasło uwierzytelniające.

Może to być zarówno hasło generowane jednorazowo, jak i – dzięki symulacji klawiatury – hasło stałe, przy czym odpowiednio długie by utrudnić atak słownikowy.

(!) Zgłoś błąd na stronie