Még olcsóbb a jelszavad

2019. május 03. 09:36 - Csizmazia Darab István [Rambo]

Úgy tűnik az időmúlás sokaknak nem okoz ráébredést, felismeréseket, ahogy a mások kárán sem sikerül tanulni egy tetemes felhasználói rétegnek. Egy friss kutatás szerint még mindig 23 millióan gondolják úgy, hogy személyes titkaikat, privát szférájuk védelmét leghatékonyabban a fortélyosan megkonstruált és szupererős "123456" jelszó garantálja.

A Have I Been Pwned (HIBP) adatait vizsgálta az Egyesült Királyságban működő National Cyber Security Centre (NCSC). Az elemzés szerint primitív jelszavak koronázatlan királya továbbra is az "123456". A vitathatatlan győztes melletti helyezettek sem festenek olyan képet, amely sok okot adhatna büszke melldöngetésre, hogy lám a felhasználói tömegek biztonságtudatossága már milyen magasságokba emelkedett.

Sajnos ugyanis a lustaság-tudatlanság-nemtörődömség Bermuda-háromszögében olyan gyakori, gyenge és újrahasznosított jelszavak sorakoznak, amelyek nyitott ajtót kínálnak a kiberbűnözők számára.

Az "123456" karaktersorozatra 23.2 millió felhasználói fiók tulajdonosa tekint jelszóként világszerte, aminél nagyobbat nem is tévedhetnének. De az élmezőny további tagjai utalnak arra, hogy a Worst Password elrettentései, vagy a biztonsági szakmai figyelmeztetései széles körű megértésre találnának.

Például az "123456789" sztringet 7.7 millió alkalommal választották, ami hasonlóan gyenge védelmet képes biztosítani. Az első öt helyezett az avatott szemeknek nem okoz csalódást, így régi ismerősként köszönthetjük még a "qwerty", a "password" és az "1111111" szavakat is.

Érdekes volna tudni az alkalmazott jelszavakhoz tartozó felhasználó életkort, és iskolai végzettséget, amikből jobban lehetne látni, hol húzódik a biztonságtudatosság jelenlegi Achilles sarka, de természetesen ilyen információ nem áll rendelkezésre.

Überprimitív jelszavak évi rendes parádéjáról itt írtunk legutóbb, egy viszonylag alapos összefoglaló jelszóválasztás ügyben itt olvasható, míg a gyenge jelszavak üzemszerű kitiltásáról itt írtunk.

9 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr6214800758

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

qwertz123456 2019.05.04. 10:46:17

Azért hülyeség ezt félévente elmondani, mert én kb évi 50-60 db 123456-os jelszót generálok és mégis teljesen biztonságban vagyok.
Most egy olyan oldalra ahol "regisztráció szükséges" a kommenteléshez, vagy hogy valamit megnézzek oda mi a fenének csinálnék nehéz jelszót? Úgyse használom soha többet, inkább ha kell regisztrálok egy másik account-ot. (pl. itt blog.hu, pornóoldalak, bármi fórum) Egy 10minutemail és 123456 na bumm, már benn is vagyok.

Szóval nem azt kell megnézni hogy hány éves, mi az iskolai végzettsége stb. hanem hogy hányszor használta az adott belépést.
Biztos van aki tényleg ilyen gyenge jelszót választ de szerintem 2/3-a csak ilyen kötelező regisztráció miatt van.

Szabványok 2019.05.04. 11:12:13

A magyarok ebben is megelőzik az USA-t, mert nekünk"qwertz" a jelszavunk.

steery 2019.05.04. 12:03:28

Ez nem a felhasználók, hanem a beléptető rendszereket készítő programozók hibája. Mivel simán megoldhatnák, hogy bizonyos gyenge kulcsszó kombinációkat tiltó listára tesznek, azaz a rendszer nem engedi a használatukat.
A jobban megírt rendszerekben eleve ilyen feltételek vannak feltüntetve: a kulcsszóban szerepelnie kell kis és nagy betűnek, számnak, írásjelnek, speciális karakternek. A hosszának minimum 12 vagy 16 karakternek kell lennie.
Ahhoz, hogy ezeket mindenképpen be lehessen vinni, különböző billentyűzetekkel is, érdemes volna kifejleszteni egy kulcsszó beviteli virtuális billentyűzetet, ami megjelenik a beléptető oldalon, a kulcsszó beviteli mező alatt. És ezen mutatókattintásokkal lehet választani a megengedett karakterek közül, illetve kiosztást váltani. Viszont ilyen megoldással még sehol sem találkoztam. Miért?

Komojtalan 2019.05.04. 13:03:27

Már írták, de én is szelektálok az oldalak között. A bankhoz egyedi user/pass, a biztonságos oldalakhoz teljesen más, a kevésbé biztonságoshoz meg megint más és az email címek sem azonosak. Összesen vagy 8-10 user/pass -som van, persze ebben vannak átfedések. A szemetekhez meg jó a 123456/654321 (már ha nem lenne foglalt) is egy csak erre a célra létrehozott email címmel. Oda jöhet a szemét, 1-2 havonta törlöm olvasás nélkül. Sokkal hasznosabb volna ha csak a megbízhatóbb oldalakról kiszivárgott adatokból volna ilyen lista.

szepipiktor 2019.05.04. 13:33:14

Azért napi két hasonló posztra nem lenne szükéség. Ugye reggel még kint volt az az okoseszközös marketinganyag is.
Sajnos a hangadók ma inkább a blogger és gémerközösségből érkeznek, nekik gyakorlatilag nulla ügyviteli, valódi számítástechnikai alapjuk, képzettségüj gyakorlatuk nincs a témakörben, minden a globalizált egyeninformációkra alapszik.
Egyszerűen fordítva ülnek a lovon és onnan magyarázzák a helyes irányt.
A témakörben a jelszó gyakorlatilag nem lényeges!
Egyedül az ostoba okoseszközös generációnak lehet probléma, akik az életüket egy rendszer köré építették fel.
Most vessem fel, hogy okostelefonról NEM INTÉZÜNK bakni műveleteket? Hogy az okostelefonok alljainak egy passzív lekérdezőalkmazásnak kellene lenniük és nem egy primitív belépéssel védett aktív dologgnak? Hogy nem utalunk semmit a neten a fő bankszámlánkról? Hogy az email címinket, belépési adatainkat tervezzük a feladatokhoz és azok soha nem is kerülnek egymással kapcsolatba? Hogy a telefonunk címlistája preparál legyen és ne a minden egyben címtárunk?
Én megadom a jelszavamat, attól még nem tud senki sehova bejutni, mert nem lát engem, nem tudja összehozni az egészet egyetlen weboldallal.
Reggelig sorolhatnám, de ugye ezt tanulni kell és abban a szektorban élni, ahol a kockázat nem egy fészbúk jelszó ellopása, hanem akár milliárdos kár, ha illetéktelenek hozzáférnek a rendszrünkhöz.
Az adatbiztonság nem az appoknál és a jelszavaknál kezdődik.
A házunkat sem a lakáskulcshoz tervezzük...

szepipiktor 2019.05.04. 13:41:14

@Komojtalan: Nagyon jól írod!
Külön adat a priváthoz, külön a cégeshez (több is mindegyikhez), külön a netes keresgéléshez, külön a vásárlásokhoz, külön az ilyen blogos meg más belépésekhez, külön a felhőkhöz (mert a saját NAS alapú védett és titkosított mellett több nyilvános is legyen!) stb. Kölön van gmail-es és más is.
De ezek nem átjárhatók! Egyik feltörésével nem juthat senki a másikhoz, mivel maga a kapcsolat nem látható!
És a gmail is összeszervezhető, de nem a "fogadó" oldalon, mert abból már visszavezethetők a ebbe csatoltak.
A regisztrációs "nevet" kell rotálni, mert az kapcsol össze és nem a jelszó. ha nincs kapcsolat, nem lehet a korábban ellopott infókat használni.
A legelemíbb biztonság, hogy minimum 3 különböző emal cím és mindegyik MÁS regisztárciós adatokkal.
Nekem egyetlen nevem sem utal rám, a privát is csak 10%-ban.

Tóth Máte 2019.05.29. 08:41:50

@qwertz123456: jogi eszközökkel kell fellépni az adatlopások ellen. Fel kell szólítani a másik feled a jogosulatlan adatgyűjtésre!

Tóth Máte 2019.05.29. 08:44:14

@szepipiktor: ogi eszközökkel kell fellépni az adatlopások ellen. Fel kell szólítani a másik feled a jogosulatlan adatgyűjtésre!