Az "123456" jelszóról...

Hatvanháromezer helyen jelent meg az elmúlt napokban a weben, hogy a nyilvánosságra került hotmailes jelszavak között a leggyakoribb az "123456. Nos, sajnálatos módon a jelszavak elemzése nem tért ki arra, hogy hány ideiglenes vagy tesztaccount lehet a kikerült adatok között.

Ugyanis a világban keringő emailcímek jelentős része egyáltalán nem aktív. A netezők gyakran csak azért hoznak létre emailfiókokat, hogy egy adott szolgáltatásba be tudjanak regisztrálni - és nem szeretnék, ha ez a szolgáltatás tudna a valós emailcímükről. Torrentszájtokra vagy pornószájtokra, vagy egyéb, gyanús szájtokra elég kevesen regisztrálnak a céges vagy privát emailcímükkel.

Szóval megkockáztatom, hogy a fenti statisztikai adat nem azért állt elő, mert az internetezők tömegei annyira egybitesek lennének, hogy ne tudnának egy ennél legalább eggyel erősebb jelszót kitalálni. Hanem az ok valójában az, hogy a fake vagy ideiglenes, egyszer használatos emailfiókok létrehozásánal a netezők elsősorban abban érdekeltek, hogy a fiókhoz gyorsan hozzájussanak. Erre pedig a legmegfelelőbb módszer, ha az 1234, 12345, 123456, 123456789, vagy a szintén közkedvelt asdfasdf jelszavakat gépelik be.

Adatot nem láttam róla, de felteszem, hogy a New York állambeli Schenectady városkát sokkal többen jelölik be webes regisztrációkor, mint amennyien ott laknak. Ugyanis a település irányítószáma éppen 12345.

A teszt-account elméletemnek talán némileg ellentmondani látszik, hogy egyes kutatások szerint a magyarok legkedveltebb lottókombinációja az 1, 2, 3, 4, 5. Valamint ez a kombnáció az egyik leggyakoribb port is.

Címkék: stat biztonság jelszó email
2009.10.08. 11:59. írta: hírbehozó

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Részben igaz, de a gyenge jelszavak általánosak működő címeknél is. Részletek: webmania.cc/jelszovalasztasi-szokasaink/
Mivel a Microsoft adatbiztonsági alapelvei között az is szerepel, hogy a felhasználók jelszavait valamilyen hash algoritmussal (sha1, md5, ..) kódolják, ha netán ellopnák az adatbázis, ne tudjanak vele mit kezdeni. Eredendően a napvilágra került jelszavakat maguk a felhasználok adták meg a _jelszólopóknak_. A microsoft nem hibázott. Most nem.
@Takács Árpád: igen, de ne feledd h phisingbe sokkal gyakrabban futnak bele azok a netezok, akik pornoszajton vagy torrentoldalakon botorkalnak. es egy fake accountot sokkal konnyebben adsz meg barhol a weben, mint valosat.
Hát ez nagyon egyszerre gondolkodás volt, én is erről írtam kicsit korábban:
itguru.blog.hu/2009/10/08/123456_1
@it_guru: Tévedsz, te az 126456-ról írtál, hh pedig az 12345-ről.
@Takács Árpád:

hehe, igen, de minimum 6-jegyű kódot szoktak kérni regisztrációnál... :)
@Takács Árpád: ha netán ellopnák az adatbázis, ne tudjanak vele mit kezdeni.

és ezért adta az ur a md5 sha hash db-ket, és a milw0rm crackert....
@cadmagician: Tudtommal nincs algoritmus md5, sha visszafejtéstré. A milw0rm cracker meg úgy működik, hogy van egy hatalmas adatbázisuk, amiben ismert haskehet tárolnak.
@Takács Árpád: és "ezért adta az ur a md5 sha hash db-ket, "
@cadmagician: de hát ezt én is írtam, második hozzászólás... nem értelek, bocs. :)
Ide érdemes elnézni a témában

rycon.hu/?p=itsec

Ez a doksi pedig aranyos, vagy mi. A témában.

rycon.hu/papers/01passwordstat.pdf
"A leggyakrabban használt jelszó „123456” volt, ami 64-szer szerepelt a tízezres listán." index.hu

Talán csak én látok egy nagy félreértést itt. A "leggyakoribb" itt nem egyenlő a szó hétköznapi jelentésével, tehát nem azt jelenti hogy a jelszavak többsége ez volt. Csak 64 a 10.000ből. Csupán azt jelenti hogy a többi jelszó egyedibb volt, kevesebbszer használták ugyanazt a jelszót különböző fiókoknál. Arról nem is beszélve hogy könnyen elképzelhető az is hogy valakinek több emailcíme van, mind pl hotmailes és kényelmi okokból ugyanazt a jelszót használja mindenhol...
Megtörtént eset: orvosi szoftvert fejlesztett a cég. Az egyik update során az addigi minimum 5 karakteres jelszó követelményt felemelték hatra.

"Botrány" lett belőle, mert a dokik nem tudták megjegyezni az új jelszavaikat... ugyanis az orvosi pecséteknek ötjegyű a száma.
HETI OFF: APP Store-ból akarok az iPhone-omra dolgokat letölteni, de Mo-ról nem enged regelni, pontosabban nem fogadja el a kártyámat. Tipp? Valaki tól jutott ezen az Apple részéről méltánytalan kapun?
@Takács Árpád: Annyi jó cucc van, és egy login választ el ami igen bosszantó. Nem tudom Mo. miért van kizárva. Szemétségnek tartom pedig szeretem az Apple termékeit, de ez gonosz dolog tőlük. :)
@tóbiás: Itt ne beszélj félre, mert hh lebasz. Itt leszek és segítek:

www.stinto.net/tu8ew
@Takács Árpád: Csak nem basz le egy törzsolvasót. Akkor világvége van. :) Megyek akkor chatre!
a magyarok legkedveltebb lottókombinációja az 1, 2, 3, 4, 5.

akkor ezt nem érdemes megjátszani mert ha nyersz is, osztozni kell a többiekkel
Az utolsó mondatod azt sugallja, hogy hülyeség megjátszani az 1,2,3,4,5-öt, pedig valójában pont annyi az esélye annak hogy nyersz, mint bármilyen másik kombinációnak. ;) Az persze igaz, amit Peti írt.
Az 1,2,3,4,5-öt azért hülyeség megjátszani, mert sokan játszák.. tehát, ha történetesen ki is húznák, nem sokra mennél mondjuk a nyeremény egyezredével.
@VRbagoly: Nem sokra mennél 1 millió forinttal? De jól megy nektek...
@Takács Árpád: havi párszázat fizetni, hogy az első 448 milliárd hétben nyerhess valamikor (jó esetben) egymilliót? tényleg, a hülyének is megéri
: miről beszélsz??? ki beszélt itt megérésről? kevered a szavakat...
"teszt-account elméletemnek talán némileg ellentmondani látszik, hogy egyes kutatások szerint a magyarok legkedveltebb lottókombinációja az 1, 2, 3, 4, 5." :
persze, mert iszonyú sok kombináció létezik, egy 0,2-0,3°%-os kombináció simán vezethet
(86*87*88*89*90)/(1*2*3*4*5) = 43.949.268
@HH: ismét csak a középsulira tudok hivatkozni, ahol tanítok. Tantervben ugyan nincs be bevittem idén év elején minden osztályba 2 órányi "adatbiztonság, megfelelő jelszóváltás és webes szolgáltatások" használata órát.

Az általános. Myvip + msn + freemail/citromail jelszó standard ugyanaz.
Barát - barátnő neve, születési dátuma, vagy a sajátjuk. 123qwe, 123456, és tsai.
10-ből 3-an megmondják a jelszavukat ha rákérdezek 2-szer. Nem tudom mi van MO-n kívül de itthon - hidd el sajnos, ha találkozol velük, ha nem - az 1bit-es user a jellemző 90%-ban kb.

Cégem révén is találkozom a diákságnál idősebb kategóriával is. Sajnos a fenti megállapítás ott is áll, hogy a nem informatikusok közül 90% ilyen.

Mindez persze saját tapasztalat, és nyilván nem egy releváns kutatás eredménye.
HETI ON: HH gévéves cikk? Már fenem rá a szemem. Lesznek kulisszatitkok is? :)
HETI OFF: Show tweets written in: Nah nem is vettem észre, hogy lehet nyelvre bontani a csiripeléseket a Twitteren. Vagy ez ismét csak nekem új? :)
@meroving:
mert az emberek többsége rájön magamtól, hogy a fontos tartalmat erős jelszóval kell védeni, ami meg nem olyan fontos, azt meg kell annyira erőssel. ehhez nem kell "jelszóbiztonság" tanóra. ne viccelj már.

szerintem csak arról van szó, hogy "123456" jelszót használó embereket nem érdekli különösöbben, hogy esetleg belépnek a postafiókjukba, mert most akkor mi van. lépjenek be. és. nem gondolják, hogy ez valami forradalom, hanem azt gondolják, hogy amikor privát beszélgetünk, akkor se feltétlen zárjuk lakatra az ajtót.

és persze jó példa az orvos, aki meg a pecsétszámot használja jelszónak. de annak megint tanítod meg, hogy erős jelszót kell használni, ha egyszer nem akarja azt használni, mert pont jó neki a pecsétszám. olyankor kötelezni kell, és nem tanítani.

de mindegy is ez.
hű az eleje mennyire olvashatatlan. kitöröltem egy fél mondatot. és ez lett belőle. na tessék.
@tóbiás:

Megfejtés: Webisztán - Blog, azoknak, akik a weben élnek, és már elfelejtették, hogy merre van Offlájnia.

Megfejtve iPhone 3Gs-el :)
@tóbiás: az ékezetes karakterekkel gond volt ;)
@Takács Árpád: Ügyes-ügyes. :) Jövő héten újabb játékkal jelentkezik techműsorunk. :)
Itt egy érdekes táblázat arról, hogy mennyi idő szükséges a különböző bonyolultságú jelszavak számítógépes feltöréséhez: www.weblap.ro/milyen-a-jo-jelszo