Elkészült a frissített, 2020-as toplista, azokból a jelszavakból, melyeket leggyakrabban használnak az emberek.
Évről évre kiadásra kerül egy toplista, amelyben az adott évben nyilvánosságra került, kiszivárgott adatbázisokból gyűjtik össze a leggyakrabban használt jelszavakat a szakemberek. Talán nem meglepő módon a leggyakoribb még mindig az 123456, de a password is éppencsak lecsúszott a dobogóról, ott csücsül a negyedik helyen.
Az évről évre visszatérő elemek mellett, a teljes 200-as listában találunk újakat is, ráadásul azt is megnézhetjük, hogy adott jelszót mennyi idő alatt törhetnék fel. Az ebben a listában szereplő jelszavak annyira gyengék, hogy igazából semmiféle védelmet nem nyújtanak.
10 leggyakoribb jelszó
- 123456
- 123456789
- picture1
- password
- 12345678
- 111111
- 123123
- 12345
- 1234567890
- senha
Mit tehetnek az erősebb jelszavakért a szolgáltatók?
Hogy ne csak arról beszéljünk, hogy ‘mármegintahülyejúzer‘, érdemes megnézni mindkét oldalt. A weboldal tulajdonosok, szolgáltatók megkövetelhetik, hogy egy jelszó tartalmazzon kis-,nagybetűt, számot és speciális karaktereket. Szintén megkövetelheti, hogy ezeket a gyenge jelszavakat nem engedik használni, illetve nem engedik, hogy a felhasználónév és/vagy email cím ne lehessen a jelszó.
Ezenkívül a jelszavakat erős titkosítással illene ellátni az adatbázisban; ajánlott az SHA-256-os enkriptálás, sózást használva. Az sem árt, ha a sót, sem könnyű visszafejteni: tipikus hiba, hogy a rögzítés timestamp-jét kódolják el, ami viszont bárhonnan máshonnan kiolvasható az adatbázisból.
Az MD5 kódolást már nem nagyon javasolt használni, mivel még ha többször is futtatjuk le adott jelszavon (tehát az MD5-tel hashra futtatunk újabb MD5-öt, majd ezt megismételjük párszor), a mai szótárak már ezt is képesek feloldani.
Mit tehetnek az erősebb jelszavakért a felhasználók?
A felhasználók lehetőleg:
- ne használják ugyanazt a jelszót több webhelyen,
- kerüljék az egyszerű jelszavakat,
- kerüljék a születési időpont számait a jelszóban.
“De hát én ennyi jelszót nem tudok megjegyezni!!” – fakadhatna ki bárki. Szerencsére ma már nagyon jó jelszókezelő alkalmazások vannak a piacon. Én a LastPass-t használom, ami egy felhőalapú jelszókezelő. Van mobil alkalmazása is és böngésző beépülő bővítménye is. Csak a mesterjelszót kell fejben tartanunk, a többi jelszót megjegyeztethetjük vele. Nekem nagyon sok olyan jelszavam van, amit nem tudok, mivel a LastPass-szal generáltattam; nem érdekelt, hogy mi a jelszó, csak hosszú legyen és biztonságos.
Már az ingyenes verzió is tartalmaz hasznos funkciókat: időnként szól, ha egy jelszót túl rég óta nem változtattunk meg, esetleg valamelyik jelszavunk kiszivárgott volna a netre. Pár kattintással gyorsan megváltoztathatjuk egy újabbra.
Másik megoldás lehet, hogy magunk kialakítunk egy jelszó generálási sablont. Például létrehozhatunk úgy egy jelszót, ha veszünk egy mondatot és a szavakban található kezdőbetűkkel játszadozunk.
Pl: De szép volt a Hold szombat este.
Ebből generálhatunk egy ilyet: DsvaHsze
Majd középre alkalmazhatunk egy speciális karaktert Dsva@Hsze
Kicserélhetjük a betűket számokra: D5v4@H523
Vagy felhigíthatjuk, számunkra könnyen megjegyezhető számokkal (ebben az esetben a az előző példából csak átemeltük a számokat): Ds5va4@Hs5z2e3
A LastPass jelszó erősség mérője szerint ez egy erős jelszónak számít, számunkra mégis megjegyezhető. Ha mégse éreznénk elég erősnek, bővíthetjük további elemekkel.
Fontos, hogy ne használjuk a szokásos, megúszós eljárásokat: ne úgy akarjunk megfelelni a szabályoknak, hogy az adott jelszó mögé bepakoljuk a megfelelő elemeket!
A Carnige Mellon Egyetem kutatói ráadásul egy olyan, weboldalak számára is ingyenes használható modult hoztak létre, amely pontosabban határozza meg az adott jelszó erősségét, és egyedi javaslatokat is tesz arra, hogyan lehetne javítani rajta. Itt kipróbálható, és letölthető.