Cele mai proaste parole din 2017 sunt fix cât ești tu de leneș

Articolul a apărut inițial pe Motherboard.

Pentru al șaptelea an consecutiv, compania de securitate de gestionarea parolelor, SplashData a scotocit prin grămada de parole uzate, pentru a le găsi pe cele mai neinspirate din anul 2017. Cercetarea de anul ăsta s-a bazat pe mai bine de cinci milioane de parole sparte, excluzând cele de pe site-urile pentru adulți sau de la hack-uirea masivă a email-ului de Yahoo. Parolele aparțineau în mare parte utilizatorilor din America de Nord și Europa de Vest.

SplashData estimează că aproape 10% din oameni au folosit cel puțin una dintre cele 25 de parole de pe lista de anul ăsta și aproape 3% au folosit cea mai neinspirată parolă, „123456”. „Password” a fost a doua pe lista celor mai populare parole folosite.

Alte parole numerice, care nu sunt adiții noi pe listă au fost: „12345678”, pe locul trei, „12345” pe locul cinci și „1234567” pe locul șapte. Însă au existat și unele noi, variații mai mult sau mai puțin creative: „123456789” (pe locul șase) și „123123” pe locul 17.

Altele de pe listă includ cuvinte mult prea evidente: „qwerty”, „fotbal”, „admin”, „welcome”, „login”, „abc123”, „dragon”, „passw0rd” și „master”. Au fost și câteva parole noi în topul 25 de anul ăsta, inclusiv: „letmein”, „iloveyou”, „monkey”, „starwars”, „hello”, „freedom”, „whatever”, „qazwsx” (primele două coloane din stânga de pe o tastatură standard) și „trustno1”. Noile parole care le-au înlocuit pe cele din 2016 sunt: „123456790”, „princess”, „1234”, „solo”, „121212”, „flower”, „sunshine”, „hottie”, „loveme”, „zaq1zaq1” și „password1”.

Mulți oameni au o impresie cât se poate de greșită, că dacă înlocuiești litera „O” cu „zero”, parola o să fie mai sigură, dar, așa cum a punctat în comunicatul de presă Morgan Slain, directorul executiv al companiei SplashData: „hackerii știu trucuri, iar dacă modifici un pic o parolă atât de ușor de ghicit, asta nu-ți oferă mai multă securitate.” Pe lângă asta, Slain a mai spus că atacatorii știu să folosească termeni populari pentru a sparge conturile online, în caz că-ți imaginai că ești singurul fan Star Wars.

Sfaturile în privința parolelor nu s-au schimbat cu mai mult decât atracția pentru parole groaznice refolosite, dar pentru orice eventualitate: gândește-te la fraze complexe, în loc de cuvinte simple și creează parole unice pentru fiecare cont. Folosirea parolei pentru mai multe conturi, asta le face pe toate vulnerabile: dacă un cont este compromis, atacatorii pot testa parola pe toate celelalte conturi: nu e ușor să memorezi parole unice pentru fiecare cont, așa că stocarea lor într-un manager de parole permite tehnologiei să se ocupe de partea asta mai grea.

Din păcate, o mare parte din ghidurile pentru parole sunt eronate, inclusiv cele de pe formularele de înscriere, care felicită utilizatorii pentru presupusa parolă puternică. Un studiu din 2015, de la Concordia University a demonstrat că tehnicile de măsurare a viabilității unei parole de pe site-urile populare și managerii de parole sunt foarte inconsecvenți. Pot chiar induce utilizatorii în eroare și oferi o falsă siguranță, din moment ce se bazează pe lungime, varietatea caracterelor și uneori cuvinte comune sau un pattern slab.

Nu reușesc să identifice alte slăbiciuni și nu țin cont de înlocuirea literelor cu caractere numerice similare, deși orice hacker malițios care e bun de ceva ar face asta cu siguranță.

„În analiza empirică la scară mare, este evident că contoarele utilizate în mod obișnuit sunt extrem de inconsecvente, nu furnizează feedback coerent și, uneori, oferă măsurători de securitate înșelători", scria în studiu.

Pe lângă utilizarea unei fraze bune (indiferent dacă are mai puțin de 12 caractere cu diverse simboluri, litere și numere sau o frază din șapte cuvinte), setarea autentificării în doi pași pe conturile de email este o idee bună. 2FA adaugă un nivel în plus de securitate prin impunerea unui al doilea factor de identificare, pe lângă username și parolă. Așa cum evidențiază și organizația nonprofit de libertate digitală Access Now, 2FA prin SMS are numeroase dezavantaje, de la shoulder surfing (când cineva se uită peste umărul tău ca să-ți afle parola) la posibilitatea de hack-uire prin falsificarea cartelelor SIM sau a infiltrării operatorilor de telefonie mobilă și vulnerabilitatea rețelelor de telecomunicații.

Codurile generate pe aplicațiile de telefon, cum ar fi Google Authenticator sau pe un mic dispozitiv hardware precum Yubikey sunt, în general, mai bune decât mesajele SMS.

Având 2FA activat îngreunează accesul unui hacker în contul tău. Acest lucru are o importanță semnificativă în ceea ce privește conturile de e-mail, deoarece cei rău-intenționați pot reseta de obicei toate celelalte parole dintr-un cont de e-mail. Dar, dacă ai setat 2FA pe contul de mail, poți preveni hackuirea contului, asta dacă atacatorul nu îți ghicește oricum parola evidentă și neinspirată.

Lista completă cu topul celor mai comune parole din 2017:

• 123456

• Password

• 12345678

• qwerty

• 12345

• 123456789

• letmein

• 1234567

• football

• iloveyou

• admin

• welcome

• monkey

• login

• abc123

• starwars

• 123123

• dragon

• passw0rd

• master

• hello

• freedom

• whatever

• qazwsx

• trustno1