Jelszavak kezelésével már kismilliószor foglalkoztunk. Amiért most mégis terítékre kerül, az egy friss statisztika, amely azt vizsgálta, mennyiben képes segíteni a Chrome februárban bevezetett kiegészítője, amely a kiszivárgott, ellopott jelszavakra képes figyelmeztetni a júzert.

A Stanford Egyetem közreműködésével készült Google kiegészítő a keresztségben a Password Checkup nevet kapta, és ehhez híven pontosan azt is teszi: egy négymilliárdos adatbázisban csekkolja a név-jelszó párost, és riaszt, ha egyezést észlel. Vagyis nem figyelmeztet gyenge, qwerty vagy 123456 típusú jelszavakra, de ha az éppen használt account szerepel a feltörtek adatbázisában, akkor jelez.

Egyébként vannak már más, ilyen jellegű nem hivatalos próbálkozások is, például Firefoxhoz, amely a Have I Been Pwned adatbázis hash-sel hasonlít és értesít.

Na de visszatérve a Password Checkup szálhoz, itt annyi az érdekesség, hogy megjelent egy ezzel kapcsolatos, a tapasztalatokat összegző statisztika, hogyan viselkednek a felhasználók, ha értesítést kapnak arról, kompromittálódott a jelszavuk. Az indulás óta nagyjából 650 ezren töltötték le ezt az alkalmazást, és az az első hónap leforgása alatt 21 millió accountot ellenőrzött.

A megvizsgált név-jelszó párosok közül körülbelül 1.5%, azaz mintegy 316 ezer felhasználó jelszava bizonyult lopottnak, feltörtnek az ellenőrzés során.

A teljes értékelést ezen a linken lehet olvasni, ami viszont már első blikkre is szembetűnő, az a jelszavak kimutatható újrafelhasználása, magyarán még mindig vannak, akik ugyanazt alkalmazzák több helyen is. Azok a felhasználók, akik a figyelmeztetések után viszont mégis jelszót változtattak, ők ezen belül döntő többségben (94%) már kimutathatóan erősebbre módosították a korábbi feltört változatot, ez lehet a jó hír.

A kevésbé kedvező pedig az, hogy a figyelmeztetett júzerek negyede (25.7%-a) egyszerűen figyelmen kívül hagyta a kiegészítő jelzését.

Végül ha már mindenféle statisztikai bűvészkedések így terítékre kerültek, akkor zárjunk is egy ilyennel. A leghíresebb feltört fiókokat listázó oldal, a már korábban emlegetett Have I Been Pwned (HIBP) oldal is beszámolt arról, hogy a primitív jelszavak, és a password reusage továbbra is milyen nagy arányban vannak jelen.

Ami viszont a számszerűségről mutat képet, hogy 2019-ben átszámítva óránként 19 ezer kompromittálódott account került bele az adatbázisukba. Hogy ez most nem jó vagy nem tragikus, azt döntse el mindenki maga!