Az internetezők egy jelentős hányada nem törődik a bizalmas adatai védelmével, és pofonegyszerű jelszavakat használ. Ez ma veszélyes taktika. Egy adat- és behatolásvédelemmel foglalkozó amerikai vállalkozás vizsgálata szerint az elmúlt húsz évben nem sokat javult a számítógép-használók által választott jelszavak komolysága, sokan – a támadásokról szóló riasztó hírek szaporodása ellenére is – a digitális kulcsaikat is a lábtörlő alatt tartják. A webkorszak hajnalán a legnépszerűbb jelszó az „12345” volt, ma az „123456”.

Az Imperva 32 millió valós belépési kód elemzését végezte el – írja az eredményekről beszámoló New York Times. A jelszavakat egy ismeretlen hacker szerezte meg decemberben a közösségi szájtokhoz alkalmazásokat fejlesztő RockYou adatbázisából, majd publikálta rövid időre az interneten. A terjedelmes listát nemcsak hackerek, hanem biztonsági szakemberek is letöltötték – ilyen méretű statisztikai korpuszhoz ugyanis ők is ritkán jutnak hozzá. (A hanyag adatvédelmi gyakorlata miatt korábban már támadott RockYou az incidens után a kiszivárgott jelszavaik megváltoztatására kérte ügyfeleit.)

A statisztika szerint a 32 millió felhasználó 1 százaléka az „123456” számsort használta jelszóként, míg a második legnépszerűbb kód az „12345” volt. A jelszó-gyakorisági 10-es toplista a következőképpen fest:

1. 123456
2. 12345
3. 123456789
4. password
5. iloveyou
6. princess
7. rockyou
8. 1234567
9. 12345678
10. abc123

Amichai Shulman, az Imperva műszaki igazgatója a lapnak elmondta: még aggasztóbb, hogy a felhasználók körülbelül 20 százaléka (tehát több mint 6 millió ember) egy viszonylag jól körülhatárolható, 5000 jelszavas készletből választott. Ez pedig azt jelzi, hogy a hackereknek könnyű dolga van: elég a leggyakoribb kombinációkat végigpróbálgatniuk. „Hajlamosak vagyunk azt gondolni, hogy a jelszavak kitalálása rendkívül időigényes, hogy egy ilyen támadáshoz minden felhasználói fiók esetében rengeteg név és jelszó kombinációt kell végigjátszani. De a helyzet az, hogy a leggyakoribb jelszavakkal igen hatékonyak lehetnek a támadók” – magyarázta Shulman.

A webes szolgáltatások egy része az ilyen támadásokat a fiókok átmeneti letiltásával próbálja megakadályozni, de ez nem minden esetben jó megoldás: az eBayen például egy ideiglenes blokkolás miatt árveréseket bukhat a felhasználó. Az automata próbálkozások ellen a másik leggyakoribb védekezés a CAPTCHA.

A szakértők azt mondják: érthető, hogy ma, amikor rengeteg kódot kell a fejünkben tartani, igyekszünk egyszerűen megjegyezhető kombinációkat választani. Egy biztonsági szempontból ideális világban minden weboldalhoz, minden szolgáltatáshoz más-más jelszót használnánk, de a szakemberek szerint az is elég, ha legalább kettőt választunk: egy egyszerűbbet azokhoz a szájtokhoz, ahol nem nem tárolunk visszaélésre alkalmas, bizalmas adatokat, és egy komplexebbet azokhoz, melyeken igen (például banki weboldalak és levelezés).