A különféle szolgáltatásokban való bejelentkezéshez szükséges egy név-jelszó páros. Ami ugye elvileg erős (van benne minden), egyedi (az egyes helyen különbözőt használunk), és ha haladó csoportosak vagyunk, megtámogatjuk kéttényezős hitelesítéssel (mint a banki vagy az ügyfélkapus bejelentkezésnél). Ezt fejben elvileg már nagyjából mindenki tudja, de vajon a valóságban követjük is ezeket a tanácsokat?
A rövid válasz az, hogy nem, a hosszabb válasz részleteit pedig a Cybernews felméréséből ismerhetjük meg közelebbről. A szakemberek 19 milliárd kiszivárgott jelszót elemeztek, és az ezzel kapcsolatos tanulságokat összegezték most közreadott jelentésükben. A vizsgált állomány körülbelül 200 különböző kiberbiztonsági incidensből kiszivárgott, és nyilvánosan elérhetővé vált adatbázisból származott.
A legtöbben (a felhasználók 42%-a) 8-10 karakteres jelszavakat használt, de sokan meg is állnak a nyolcas hosszúságnál. Az elemzett jelszavak közel egyharmada (27%) csak kisbetűkből és számjegyekből állt, vagyis sem nagybetű, sem pedig speciális karakter nem szerepelt benne nehezítésként.
Elszomorító eredmény, hogy a korábbi (2011 óta közreadott) worst password toplisták elrettentő dobogós helyezettjei: 123456 (338 millió előfordulás), admin, password, és hasonlók sajnos továbbra is igen gyakoriak. Úgy tűnik sokakat nem érdekel, hogy ezeket a primitív karakter sorozatokat pillanatok alatt fel lehet törni, rövidségük és kitalálható egyszerűségük egyaránt gyenge-pont, de az összes publikusan elérhető szótáralapú gyűjtemény is velük kezdődik.
A felmérés szerint a trágár kifejezésekből álló jelszavak meglepően gyakoriak voltak (16 millió) a találatok között - ez itt elsősorban angol nyelvű tartalmakat jelent: f*ck, sh*t, d*ck, b*tch, etc.
Ami még érdekes adalék, hogy a 19 milliárd jelszónak csupán a 6%-a (kb. 1.1 Mrd) volt valóban valamilyen egyedi karaktersorozat.
Az eredeti szivárogtatások több, mint 3 TB adatot tartalmaztak, és további olyan érzékeny információkkal voltak tele, amelyek alkalmasak lehetnek a fiókok ellopására vagy az érintett felhasználók ellen megszemélyesítésés támadások során. A jelen elemzéshez használt fájl 19,030,305,929 jelszót tartalmazott, az állomány pedig így "csak" 213 GB méretű volt.
A fantáziátlanság nem csak a dobogós helyeken jár csúcsra, hanem az élmezőnyt követő további népszerű kifejezések is az unalomig ismert, és rendszeresen felbukkanó szavakat tartalmazzák: love, dream, sun, freedom, batman, banana, mario, joker, stb. Az állatnevek is törzsvendégek a gyenge és újrahasznált jelszavak listáján: lion, wolf, bear, monkey, tiger - egy egész állatkertnyi sorakozik belőlük azoknál, akik azt gondolják, ezt aztán soha senki ki nem találná rajtuk kívül.
De azoknak sincs nagyobb szerencséjük, akik ismert celebek nevét, nagyvárosokat, országokat, a hónapok nevét, autómárkákat választanak arra, hogy privát szférájukat az illetéktelen behatolóktól megvédjék.
Az egyik legnagyobb adatbázisban, a havibeenpwned.com weboldalon a mai napon 14.9 milliárd lopott-kiszivárgott jelszó szerepel, de emellett még számos további publikus gyűjtemény fellelhető a neten, például breachdirectory.org, leak-lookup.com, stb.
A hogyan válasszunk erős jelszót témáról itt beszéltünk korábban részletesen, a jelszószéf használatáról - amely nem csak megjegyezni és előhívni, hanem generálni is tudja az erős egyedi választékos jelszavakat itt értekeztünk. A kétfaktoros autentikáció előnyei szóba kerültek már több ízben, például itt. És végül, de nem utolsósorban a jobb vírusirtó megoldások már arra is képesek, hogy a nyilvános adatbázisok alapján figyelmeztessenek, ha valamely - akár darkwebes - gyűjteményben felbukkanna a feltört/kiszivárgott belépési accountunk.