mboost-dp1

Shutterstock

Danskernes mest brugte kodeord er ‘123456’

- Via Soundvenue -

Det viser en undersøgelse fra NordPass, som er en password manager-tjeneste, der hjælper brugere med at lave sikre kodeord og derefter huske dem.

Det skriver Soundvenue.

NordPass har sammen med en flok uafhængige forskere i cybersikkerhed lavet en liste over danskernes mest brugte adgangskoder, og det tegner sig altså ikke godt på sikkerhedsfronten.

Listen beskriver, hvor mange gange en bestemt adgangskode er blevet brugt i indeværende år 2021, og hvor lang tid det ville tage at knække den.

På en klar førsteplads med 103.170.552 tilfælde har vi kodeordet 123456.

På andenpladsen finder vi ‘123456789’ efterfulgt af ‘12345’ på tredjepladsen, ‘qwerty’ på fjerdepladsen og ‘password’ på femtepladsen.

Hvis man kigger listen efter, tyder meget på, at danskerne lever livet lidt for farligt, når det handler om at finde på opfindsomme kodeord.

Med cybertruslen som et voksende problem i Danmark er det måske på tide at give dine adgangskoder et sikkerhedstjek, hvis du ikke allerede har gjort det…





Gå til bund
Gravatar #1 - larsp
22. nov. 2021 10:42
Jeg er lidt skuffet over at "adgangskode", "kodeord" eller "løsen" ikke er nummer et for danskerne.

Seriøst, det vil altid være de mest almindelige (og dårlige) passwords der ligger højst på listen. Det er matematisk uundgåeligt. Det gode spørgsmål er hvor udbredte de dårlige passwords er.
Gravatar #2 - atke
22. nov. 2021 11:52
Jeg er mere skuffet over at NordPass kan lave sådan en undersøgelse. Havde forventet at passwords blev gemt krypteret, så kun brugeren selv kunne fiske dem frem.
Gravatar #3 - Zub
22. nov. 2021 12:48
atke (2) skrev:
Jeg er mere skuffet over at NordPass kan lave sådan en undersøgelse. Havde forventet at passwords blev gemt krypteret, så kun brugeren selv kunne fiske dem frem.


Hvis du kan gætte koden på forhånd, hjælper kryptering ikke og eftersom NordPass har databasen, så kan de omgå evt. regler om at blive låst ude efter x forsøg, og dermed brute-force alle koderne, ud fra en kodeliste.

Jeg kunne ikke finde det 100%, men jeg læser følgende linje i deres undersøgelse som om det er det de har gjort:
"Methodology: The list of passwords was compiled in partnership with a third-party company specializing in data breach research.
They evaluated a database that contained 275,699,516 passwords in total"
Gravatar #4 - arne_v
22. nov. 2021 13:41
#3

Hvis der bruges:
- hashing
- salt
- beregningstung hash algoritme
- minimum password længde
så:
- vil det tage millioner af år at finde alle passwords
- og selvom man nemt kan tælle forekomsterne af 123456 så ved man ikke om der er et andet password som findes flere gange

Enten ved de at 123456 er det mest forekomne password på web sites med dårlig password sikkerhed og har en (rimelig) antagelse om at det er generelt eller de ved at 123456 er det mest forekomne password blandt velkendte password og de har en (rimelig) antagelse om at ikke velkendte password har få gengangere.
Gravatar #5 - nwinther
22. nov. 2021 14:07
Vi skal i dag have password til alskens ting og sager - langt de fleste ganske uvæsentlige, f.eks. dette forum. Da det er ganske umuligt at huske forskel på jeg ved ikke hvor mange passwords af en given kompleksitet, er det vel ikke så underligt, at newz-login bliver 123456 eller lignende.

Sjovt nok bliver jeg af og til stillet urimelige krav fra fuldstændige ligegyldige hjemmesider, om passwords med både store og små tegn og mindst to specialtegn og tal og de må ikke være efter hinanden og der må ikke indgå mit navn eller fødselsmåned og fanden og hans pumpestok, altimens min NemID-adgang består af to tal.
Gravatar #6 - larsp
22. nov. 2021 14:11
Jeg vil iøvrigt gerne forsvare passwords som abc123 og en throw away email hos f.eks. lortemail.dk til websites hvor der kræves en ligegyldig login/email registrering for at få adgang til et eller andet.

Det er BEDRE at bruge et shit password til disse sites end at ofre mentale eller digitale resourcer på at lave og registrere et bedre password. Eller værst, at genbruge et password man bruger til andre ting.
Gravatar #7 - Claus Jørgensen
22. nov. 2021 15:41
#6

Passwords behøver generelt ikke være sikre overhovedet hvis man har 2FA / MFA.

Og hvis der ikke er 2FA så er whatever passwordet skal beskytte ikke beskyttet anyway.
Gravatar #8 - arne_v
22. nov. 2021 15:54
#7

Hvis password er tilpas dårligt så er password+X ikke 2FA men kun 1FA da hele sikkerheden så hviler på X.
Gravatar #9 - Claus Jørgensen
22. nov. 2021 16:14
#8

Ja. Men tbh, password er mere ala. din 4-digit kode til din telefon. Det er mere for at en kollega ikke kan låse den op, end det er at sikre dig mod hackning.

Relevant xckd(s): https://xkcd.com/538/ https://xkcd.com/936/
Gravatar #10 - CableCat
22. nov. 2021 21:15
Min erfaring er at lige nu er mest brugte kodeord:
Vinter21
Før var det:
Sommer21
Sådan går det når man tvinger folk til at kodeordet skal indeholde
* mindst 8 tegn.
* 3 af de 4 klasser af tegn.
og det skal skiftes hvert halve år.
Så finde pøblen det rigest mulige kodeord, inden for de givende regler.
Gravatar #11 - Athinira
23. nov. 2021 04:26
Claus Jørgensen (9) skrev:
#8

Ja. Men tbh, password er mere ala. din 4-digit kode til din telefon. Det er mere for at en kollega ikke kan låse den op, end det er at sikre dig mod hackning.

Relevant xckd(s): https://xkcd.com/538/ https://xkcd.com/936/


Beklager at sige det, men det passer altså bare ikke.

Problemet med passwords er netop at de bliver genbrugt, og at databaser nogen gange bliver hacket og lækket - oftest sammen med brugernavn/mail-adresse. Derefter kan du så cracke de nemmeste passwords (også selvom de er hashede - det er ikke svært at skaffe en database over de mest brugte kodeord og så prøve dem af på hver brugerkonto) og derefter gå ud og prøve dem af på andre sites.

Dette er milevidt fra ideen om at din kollega ikke skal have adgang til din telefon. Det er to helt forskellige trusler, med forskellig incitament og forskellige angribere. Hvis du bruger samme kode flere steder, så kan din konto på et eller andet random PHPBB-forum pludseligt være adgangsbilletten til din PayPal-konto. Og selv hvis det ikke er adgangsbilletten til lige netop din konto, så er det sandsynligvis adgangsbilletten til 100+ andre personers PayPal-konto, da det er et skalerbart angreb jo større databasen der bliver lækket er.
Gravatar #12 - nwinther
23. nov. 2021 07:07
Athinira (11) skrev:
Claus Jørgensen (9) skrev:
#8

Ja. Men tbh, password er mere ala. din 4-digit kode til din telefon. Det er mere for at en kollega ikke kan låse den op, end det er at sikre dig mod hackning.

Relevant xckd(s): https://xkcd.com/538/ https://xkcd.com/936/


Beklager at sige det, men det passer altså bare ikke.

Problemet med passwords er netop at de bliver genbrugt, og at databaser nogen gange bliver hacket og lækket - oftest sammen med brugernavn/mail-adresse. Derefter kan du så cracke de nemmeste passwords (også selvom de er hashede - det er ikke svært at skaffe en database over de mest brugte kodeord og så prøve dem af på hver brugerkonto) og derefter gå ud og prøve dem af på andre sites.

Dette er milevidt fra ideen om at din kollega ikke skal have adgang til din telefon. Det er to helt forskellige trusler, med forskellig incitament og forskellige angribere. Hvis du bruger samme kode flere steder, så kan din konto på et eller andet random PHPBB-forum pludseligt være adgangsbilletten til din PayPal-konto. Og selv hvis det ikke er adgangsbilletten til lige netop din konto, så er det sandsynligvis adgangsbilletten til 100+ andre personers PayPal-konto, da det er et skalerbart angreb jo større databasen der bliver lækket er.



Jeg anskuer det meste af den slags som jeg anskuer min fysiske sikkerhed. Hvis man VIL ind i mit hus, kan man bare baldre et vindue og kravle ind. Men jeg låser alligevel døren, lukker og hasper vinduerne osv. - så man trods alt skal ville det, for at komme ind. Men indbrudssikkert er det ikke.

Tilsvarende for min telefon mv. - at jeg prøver med passwords jeg kan huske, lidt 2FA og så håber jeg ellers, at jeg er uinteressant og fattig nok til, at man vælger et andet offer. For jeg er da sikker på, at hvis en hacker VIL ind i min telefon, så kan han nok også komme det.
Gravatar #13 - FatPony
23. nov. 2021 13:44
Jeg forstår stadig ikke, at vi i 2021 har folk der bruger 123456, abc123, 1q2w3e4r mv....
Gravatar #14 - kriss3d
25. nov. 2021 11:26
123456 ? Hvilken idiot bruger det som password ?
Gravatar #15 - nwinther
25. nov. 2021 12:41
kriss3d (14) skrev:
123456 ? Hvilken idiot bruger det som password ?


Ikke mig. Jeg bruger 12345
- Kong Roland, Druidia
Gravatar #16 - Athinira
25. nov. 2021 16:04
nwinther (12) skrev:
Jeg anskuer det meste af den slags som jeg anskuer min fysiske sikkerhed. Hvis man VIL ind i mit hus, kan man bare baldre et vindue og kravle ind. Men jeg låser alligevel døren, lukker og hasper vinduerne osv. - så man trods alt skal ville det, for at komme ind. Men indbrudssikkert er det ikke.

Tilsvarende for min telefon mv. - at jeg prøver med passwords jeg kan huske, lidt 2FA og så håber jeg ellers, at jeg er uinteressant og fattig nok til, at man vælger et andet offer. For jeg er da sikker på, at hvis en hacker VIL ind i min telefon, så kan han nok også komme det.

Men her misser du stadigvæk fuldstændigt min pointe.

Denne type angreb handler ikke om at være "uinteressant" fordi de er skalerbare. Angreb på passworddatabaser er lette at skalere op til at angribe mange brugere - de kan sandsynligvis automatiseres med et script. Og så er det ligegyldigt hvor "uinteressant" man er - et computerscript som prøver adgangskoder fra en hacket database af på fx PayPal diskriminerer ikke mellem interessante og uinteressante brugere.

Det havde været noget andet hvis hackeren kun kunne angribe en person ad gangen og skal investere koncentration og ressourcer i hver eneste bruger man forsøger at kompromittere. Der er det netop væsentligt at være fattig og uinteressant. Men den logik fungerer altså bare ikke ved skalerbare angreb hvor hackeren fisker med det store net og prøver at fange så mange som muligt med samme metode.
Gravatar #17 - Claus Jørgensen
25. nov. 2021 16:17
#16

Men til den slags angreb er stort set alle passwords du kan huske ubrugelige.

Så hvor "[email protected]$" er et mere sikkert password end "abc123456" så er begge praktisk talt ligeså nemme at cracke i et dictionary attack.

Og så kan man jo ligeså godt vælge det nemme password sammen med 2FA.

Din pinkode til dit dankort er kun fire cifre og nemt at aflæse når du taster det ind i supermarkedet, og betydelig mere værdifuldt end adgang til din newz.dk bruger. Man det kræver jo så også at man fysisk stjæler kortet :p
Gravatar #18 - arne_v
25. nov. 2021 19:44
#17

"[email protected]$" er næppe i et dictionary.

Og klassen af 4 ords passwords (i en lidt bred fortolkning af ord) er svær at brute-force.

"abc123456" kunne være i et dictionary og klassen af 2 ords passwords kan brute-forces.

Så der er stor forskel på de to.
Gravatar #19 - syska
25. nov. 2021 23:23
That feeling when a bad example starts to kick you in the ass :-)
Gravatar #20 - CBM
26. nov. 2021 11:11
det er også et godt og sikkert kodeord der er nemt at huske så det kan jeg godt forstå

det bliver ekstra sikkert hvis man skriver det på en gul seddel og klistrer det på skærmen
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login