Początek roku to zazwyczaj też okres różnych raportów i podsumowań. Dziś chciałbym Wam przedstawić „ranking” najgorszych (i zarazem najpopularniejszych) haseł w 2013(!), który ukazał się w serwisie SplashData…

Najgorsze (i najpopularniejsze) hasła 2013

Ranking powstał m.in. na podstawie dostępnych wycieków loginów i haseł z różnych serwisów, w tym z dużego wycieku z firmy Adobe, stąd zapewne też spora popularność hasła „photoshop”:

Pozycja Hasło Zmiana względem 2012
1 123456 +1
2 password -1
3 12345678 Bez zmian
4 qwerty +1
5 abc123 -1
6 123456789 Nowe w zestawieniu
7 111111 +2
8 1234567 +5
9 iloveyou +2
10 adobe123 Nowe w zestawieniu
11 123123 +5
12 admin Nowe w zestawieniu
13 1234567890 Nowe w zestawieniu
14 letmein -7
15 photoshop Nowe w zestawieniu
16 1234 Nowe w zestawieniu
17 monkey -11
18 shadow Bez zmian
19 sunshine -5
20 12345 Nowe w zestawieniu
21 password1 +4
22 princess Nowe w zestawieniu
23 azerty Nowe w zestawieniu
24 trustno1 -12
25 000000 Nowe w zestawieniu

123456 password

Z rankingu też widać, że na samym szczycie bez większych zmian – hasło „123456” awansował o jedną pozycję na 1 miejsce, a tym samym hasło „password” spadło na 2 pozycję. Na 3 miejscu bez zmian – bardziej rozwinięta wersja zwycięzcy, czyli „12345678”.

Największy awans zaliczyły 2 hasła: „1234567” (+5, na pozycję 8) i „123123” (+5, na pozycję 11). Największe spadki w rankingu to hasła „trusno1” (-12, na pozycję 24) i „monkey” (-11, na pozycję 17).

Bezpieczne hasło

Zastanawiałem się czy przygotować ten punkt – w końcu informacji, jak stworzyć relatywnie bezpieczne hasło i internecie jest tyle, że chyba każdy zainteresowany znajdzie coś dla siebie… Ale uznałem, że „wbijania do głowy” tego typu informacji nigdy za wiele, tak więc:

Wykorzystaj wierszyk lub powiedzenie

Dobrym sposobem na przygotowanie dobrego hasła, które zarazem nie będzie na tyle trudne by trzeba było je zapisywać na żółtej karteczce obok monitora (;-)) będzie wykorzystanie jakiegoś wierszyka czy powiedzenia. Oczywiście nie całego, bo starczy 8-10 znaków.

I tak np. powiedzenie:

Gdzie kucharek sześć, tam nie ma co jeść

można spróbować przerobić np. na takie hasło:

Gk6,tnmcj!

(Gdzie kucharek sześć 6, tam nie ma co jeść [!])

Cyfry zamiast liter

Inny sposobem – choć sporo programów/skryptów służących do łamania haseł sprawdza też i takie podmiany, więc nie bazowałbym tylko na tej metodzie – jest podmiana liter na odpowiadające im wizualnie cyfry, np.:

  • i/I -> 1
  • s/S -> 5
  • z/Z -> 2
  • o/O -> 0
  • b -> 6
  • B -> 8

Indywidualne hasło do każdego serwisu/usługi

Nawet najlepsze hasło nic nie da, jeśli będziemy wszędzie korzystali z tego samego hasła – w przypadku wycieku danych z jednego serwisu/usługi, automatycznie ujawnione zostanie nasze hasło do pozostałych serwisów.

W tym przypadku można spróbować różnych metod „dodawania znaków”, które kojarzą się z danym serwisem do naszego „hasła bazowego”. Warto też spróbować jakoś zaciemnić taki dodatek, tak by nie wyglądało to zbyt oczywiście, np.:

  • Usługa1: Gk6,tnmcj!Usługa1
  • Serwis2: Gk6,tnmcj!Serwis2
  • Usługa3: Gk6,tnmcj!Usługa3

;-)

Menedżery haseł

Sporą popularnością cieszą się też przeróżne menedżery haseł, czyli programy które wspierają nas w generowaniu unikatowych haseł do różnych usług/serwisów. W tym przypadku wystarczy pamiętać jedno główne hasło do samego programu, które też chroni dostęp do pozostałych haseł.

Obecnie takie programy oferują m.in. integracje z systemem (różnymi programami, przeglądarkami internetowymi), co sprawia, że korzystanie z nich jest jeszcze prostsze i szybsze. Ważnym elementem takich programów jest również synchronizacja danych, nie tylko między różnymi komputerami, ale i np. smatfonem.

Uwierzytelnienie dwuskładnikowe (2FA)

Jeśli serwis z którego korzystacie oferuje opcję uwierzytelnienia dwuskładnikowego, nie ma co się zastanawiać – należy ją aktywować. Najczęściej będzie to w formie programowego tokena instalowanego na telefonie, rzadziej w formie wiadomości SMS (oczywiście poza bankami), czy hasła przesyłanego na adres e-mail. Są jeszcze tokeny sprzętowe, ale to raczej niszowe rozwiązanie aktualnie – przynajmniej w segmencie o którym tutaj mowa.

YubiKey

Inną alternatywą – choć na razie relatywnie mało popularną, przynajmniej z tego co widzę „po znajomych” – są urządzenia YubiKey, które po podpięciu do portu USB komputera potrafią przekazać do aplikacji/serwisu/usługi odpowiednie hasło uwierzytelniające.

Może to być zarówno hasło generowane jednorazowo, jak i – dzięki symulacji klawiatury – hasło stałe, przy czym odpowiednio długie by utrudnić atak słownikowy.

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk