mboost-dp1

SXC - gusmolina

Top 10: “123456” er igen årets værste password

- Via TechSpot -

Password-manageren SplashData samler hvert år en top 10 over de værste passwords, de støder på. Altså dem, der oftest bliver hacket, og det er dermed også nogle passwords, som ofte bliver brugt.

Første- og andenpladsen er blevet taget af de samme to passwords hvert år, siden SplashData begyndte at lave deres top 10 i 2011.

Nemlig “password” på andenpladsen og “123456” på førstepladsen. Andre passwords som “login” og “passw0rd” med et nul i stedet for o er også forblevet populære gennem årene.

Top 10-listen, inklusiv hvor meget diverse passwords er rykket op og ned siden sidste års top 10, er som følger:

1. 123456 (uændret)
2. password (uændret)
3. 12345678 (én op)
4. qwerty (to op)
5. 12345 (to ned)
6. 123456789 (ny)
7. letmein (ny)
8. 1234567 (uændret)
9. football (fire ned)
10. iloveyou (ny)

 





Gå til bund
Gravatar #1 - Ufomekaniker
22. dec. 2017 13:04
jeg har oplevet både firmaer og privatpersoner bruge de eksempler der :D
Gravatar #2 - CBM
22. dec. 2017 13:58
Pyha! Godt jeg bruger 11223344 så!
Gravatar #3 - Ufomekaniker
22. dec. 2017 20:09
CBM (2) skrev:
Pyha! Godt jeg bruger 11223344 så!

:)
Gravatar #4 - Skak2000
22. dec. 2017 22:34
Øv... Så skal jeg ændre pass igen igen.
87654321 står heldigvis ikke på listen i nu :)
Gravatar #5 - arne_v
23. dec. 2017 00:07
#substans

Man kan altid grine af de valgte passwords.

Men det store problem jeg ser er at systemerne tillader så korte passwords.

#5 er kun på 5 tegn.

Uanset hvor godt et password man vælger på 5 tegn så kan det brute forces udfra et hash meget hurtigt.
Gravatar #6 - CBM
23. dec. 2017 06:49
@arne: ja, at nemid tillader at folk bruger 4 tal istedet for et rigtigt password, gør det ikke bedre...

Men hvis folk vælger fx 12345678901234567890 så hjælper det ikke at det er 20 karakterer langt

#3 & #4 :) :)





Gravatar #7 - Athinira
23. dec. 2017 07:20
arne_v (5) skrev:
Uanset hvor godt et password man vælger på 5 tegn så kan det brute forces udfra et hash meget hurtigt.


Nu er brute-force af hashes ikke altid det største problem, selvom det naturligvis stadigvæk er et problem.

Oftest er det sammenkædningen med fx e-mail der er et problem. Hvis din e-mail er dit brugernavn på et site, så er den det sandsynligvis også på et andet site. At bruteforce dit password giver ikke meget mening hvis de ikke ved hvem du er. Det er derfor - som CBM bemærker - at NemID kan slippe af sted med en 4-cifret pinkode (NemID er forøvrigt også det eneste system jeg NOGENSINDE i mine 23 år med IT er stødt på, hvor password ikke skelner mellem store og små bogstaver) - samt naturligvis det faktum at det er 2-faktor.

Men anyway, den reelle fare ved disse passwords er at du netop kan logge ind på folks konto, bare ved at prøve dem af. Har du en persons e-mail, og bruger de sådan et weaksauce password, så behøves du ikke engang hacke dig ind og få fat i passworddatabasen - du kan bare taste deres e-mail og prøve top10-listen her :-)
Gravatar #8 - Ni
23. dec. 2017 09:49
#5 Jeg mener, det største problem er for mange krav til passwords.

Hvis du vil bryde et password og ved, det er 8 karakter langt, 80% sandsynlighed for, at det første bogstav er stort og at de to eller fire sidste er tal, så er det altså alt alt alt for nemt at bryde.

Så heller et password uden forskrift på 5 karakter.
Gravatar #9 - Ni
23. dec. 2017 10:47
Hvis jeg skal være helt ærlig, så tror jeg, [barns navn][fødselsår] er verdens mest brugte og usikre password.

For sjov kunne mange tage en navneliste fra 00'erne fra dst og kombiner med tallene fra 00-10, så har du en super hurtig og effektiv liste.
Gravatar #10 - arne_v
23. dec. 2017 16:24
Athinira (7) skrev:

arne_v (5) skrev:

Uanset hvor godt et password man vælger på 5 tegn så kan det brute forces udfra et hash meget hurtigt.


Nu er brute-force af hashes ikke altid det største problem, selvom det naturligvis stadigvæk er et problem.

Oftest er det sammenkædningen med fx e-mail der er et problem. Hvis din e-mail er dit brugernavn på et site, så er den det sandsynligvis også på et andet site. At bruteforce dit password giver ikke meget mening hvis de ikke ved hvem du er.


Ja.

Men det er nok ikke ret mange bruger databaser hvor der ikke er information om brugeren.

Det hjælper jo ikke meget i denne sammenhæng at ens brugernavn er anonymt hvis email adresse og/eller rigtigt navn er gemt i databasen.
Gravatar #11 - arne_v
23. dec. 2017 16:27
Athinira (7) skrev:

(NemID er forøvrigt også det eneste system jeg NOGENSINDE i mine 23 år med IT er stødt på, hvor password ikke skelner mellem store og små bogstaver)


Det er set andre steder.

LM password er case insensitive. Det var først NTLM der gjorde Windows passwords case sensitive.

Så et PC netværk i 90'erne har med stor sandsynlighed brugt case insensitive passwords.

OpenVMS bruger stadif case insensitive passwords.
Gravatar #12 - arne_v
23. dec. 2017 16:29
Ni (8) skrev:
#5 Jeg mener, det største problem er for mange krav til passwords.

Hvis du vil bryde et password og ved, det er 8 karakter langt, 80% sandsynlighed for, at det første bogstav er stort og at de to eller fire sidste er tal, så er det altså alt alt alt for nemt at bryde.

Så heller et password uden forskrift på 5 karakter.


Nej.

26*n*n*n*n*n*10*10 + 26*n*n*n*10*10*10*10 er større end n*n*n*n*n.

Gravatar #13 - brostenen
23. dec. 2017 22:22
Kun et eneste af dårlige password's er cool nok til at blive brugt...

1234USMC (1-2-3-4-United-States-Marine-Corp)
Gravatar #14 - arne_v
24. dec. 2017 02:48
#13

Corps

(ikke at det har nogen betydning men)
Gravatar #15 - CBM
24. dec. 2017 06:02
brostenen (13) skrev:
Kun et eneste af dårlige password's er cool nok til at blive brugt...

1234USMC (1-2-3-4-United-States-Marine-Corp)


Hmm 1234USMC er sikkert et udbredt password i netop USMC de steder hvor der er BRUGES et password i det hele taget :-)

Jeg vil tro at det står ligeledes til i Danmark.
Gravatar #16 - brostenen
24. dec. 2017 12:52
Jeg har før benyttet det som midlertidigt kodeord, de steder hvor det ikke er vigtigt med noget sikkerhed. Win98 som eksempel, og brugte det første gang i 1996. Det er også en indforstået vittighed blandt jeg og min bror, men også det kodeord som de benyttede til login, for en fiktiv person min brors klasse havde fælles på en hjemmeside for gymnasieklasse fester, tilbage omkring 1998.

Når nogen spurgte efter kodeordet, blev det sagt på kommando-sprog og med knyttet næve. I ved... Sådan lidt i retning af stroppetur sang. (One, two, three four... Og så videre)
Gravatar #17 - Ni
25. dec. 2017 08:56
#12 Jeg skrev jo netop, at man med forskriften gør at man ikke skal bruge bruteforce, men hurtigere og mere effektive metoder. Så effektive, at mange læmæmd som kollegaer ville kunne gætte det uden problemer, hvor de aldrig ville kunne gætte passwords som 'minkat'

Så antallet af passwords er fuldstændig irrelevant, da du med forskriften gør brugerne mere sårbare, både overfor nærkollega hackes og for hackere med lidt omtanke. Brute force er vel stadig sidste valg, hvis du sidder med en bruger dB på 50.000 brugere eller bare 10.000
Gravatar #18 - brostenen
26. dec. 2017 21:50
Benyt et password i stil med nedenstående.... Så går det nok, og alle kan huske sådan en sær sætning.

"Ole789Sutter25PikkeMaendVedKongensNytorv45StuenTilHøjre" :-D
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login