Mest populære Hotmail-kodeord: 123456
God password-skik har lange udsigter blandt Hotmail-brugerne, viser en gennemgang af 10.000 kodeord, som i weekenden blev lagt frit tilgængeligt på nettet.
En sikkerhedsforsker har analyseret kodeordene og fandt frem til, at det mest almindelige var klassikeren '123456', som 64 af brugerne havde valgt, skriver Wired.
20 procent holdt sig til de seks tegn, der bliver krævet som minimum, mens kun seks procent blander bogstaver med tal eller specialtegn.
Listen formodes at være resultatet af hackeres phishing-angreb, hvor brugerne lokkes til selv at oplyse brugernavn og kodeord via en falsk hjemmeside. Da alle brugernavne starter med A eller B, formodes den fulde liste at være måske 10 gange større.
Et par dage efter at Hotmail-kodeordene blev sluppet fri på nettet, dukkede også lange lister op med passwords til Gmail-konti, rapporterer BBC. En liste med adgangsoplysninger til 20.000 konti cirkulerer nu, men mange af oplysningerne er tilsyneladende forældede eller falske.
Microsoft, som driver Hotmail, har spærret for adgang til alle de berørte konti, så de retmæssige ejere skal nulstille deres kodeord for at få adgang. Den populære webmail-tjeneste har i dag også navnet MSN eller Windows Live.
Kommentarer (6)
Det er da en list pudsig vinkel I har lagt.
Der er 64 personer, der har valgt "123456" som password. Det svarer til 0,64% ud af de 10000 passwords i listen. 20% svarende til 2000 personer har brugt minimumsgrænsen på 6 tegn imens 6% (svarende til 600) har valgt mere avancerede passwords.
Der er altså næsten 10 gange flere brugere i listen, der af sig selv har valgt et mere avanceret password end krævet end de med "123456".
Og overskriften i artiklen er "Mest popolære kodeord: 123456".
?
Det ville da være langt tættere på sandheden, hvis overskriften havde været:
"80% af Hotmail-brugere bruger mere avancerede passwords end minimumskravene".
(ovenstående skal dog ikke konkluderes i retning af, at jeg tror Hotmail-brugere er mere intelligente end andre)
:o)
-
0 -
0
Jeg er lidt træt af de websteder, der afviser alle kodeord, der ikke indeholder både bogstaver, tal og specialtegn eller andre tilsvarende kombinationer. Bevares, det øger antallet af forskellige kodeord og kan hindre visse ordbogsangreb. Men det sker ofte på websteder, hvor der ikke er nogen følsomme personoplysninger eller nogen form for penge involveret, så der er det voldsomt overkill at kræve "sikre" kodeord.
Og meget ofte sikrer det ikke ret meget. Når der kræves både tal og bostaver, erstatter mange blot et bogstav med et tal, der ligner lidt, f.eks. l med 1 eller S med 5. Det hindrer ikke ordbogsangreb, for hackere er smarte nok til selv at lave den slags substitutioner i deres egne ordbøger. Bevares, det øger størrelsen af ordbogen med måske en faktor to eller tre, men det er ikke nogen voldsom hindring.
Så er der mere sikkerhed i at lade sit password være en kombination af to eller tre ord, f.eks. "katappelsin" eller "livgulbad. Bare to ord vil kvadrere tidsforbruget til et ordbogsangreb, så hvis ordene ikke er almindeligt forekommende i kombination (som f.eks. "sorthund"), er sikkerheden ret god, og det er tilmed ikke svært at huske. Men det får man mange steder ikke lov til pga. den bevidstløse insisteren på brug af forskellige tegnklasser.
Så jeg ville ønske, at websteder droppede al den formynderisme og lade os vælge de kodeord vi ville. De må gerne advare mod meget korte kodeord eller brug af almindelige ord eller navne, men afvisninger baseret på arbitrære formregler kan de godt skrotte.
-
0
-
0
Nu er der tale om en phishingliste og ikke en liste over tilfældigt udvalgte personer. Så det er fortrinsvist personer som ikke har helt styr på sikkerheden som optræder på listen.
Man kan altså ikke konkludere hvilket kodeord der er mest anvendt ud fra den liste.
-
0
-
0
Og meget ofte sikrer det ikke ret meget.
Nej, det gør vel egentlig adgangskoden mindre sikker, gør det ikke? Hvis jeg absolut skal have et tal og et specialtegn med, er mit udfaldsrum mindre end hvis jeg ikke behøvede det.
(...men jeg vil ikke påstå at jeg er ekspert på området...)
-
0
-
0
Nej, det gør vel egentlig adgangskoden mindre sikker, gør det ikke? Hvis jeg absolut skal have et tal og et specialtegn med, er mit udfaldsrum mindre end hvis jeg ikke behøvede det.
Udfaldsrummet bliver mindre, men ikke væsentligt mindre. Til gengæld er det de udfald, der er nemmest at gætte (ord fra ordbog), som bliver forhindret. Så man fjerner muligheden for "dictionary attacks".
-
0
-
0
Udfaldsrummet bliver mindre, men ikke væsentligt mindre. Til gengæld er det de udfald, der er nemmest at gætte (ord fra ordbog), som bliver forhindret. Så man fjerner muligheden for "dictionary attacks".
Egentlig ikke, man gør dem bare lidt sværere. De fleste kodeord, der påtvinges cifre og specialtegn bruger ofte substitution af bogstaver med tal og tegn eller sætter bare et ciffer eller et specialtegn efter et almindeligt ord (men sjældent begge dele). Det kan ordbogsangreb godt efterligne -- det gør godt nok ordlisten 10-20 gange større, men det er stadig indenfor mulighedens grænser. Så en advarsel mod at bruge almindelige ord -- selv med tegnsubstitution eller suffiks af specialtegn -- vil nok virke bedre.
Man kunne også råde brugeren til først at prøve at Google efter sit kodeordsforslag, og finde et andet, hvis der er mere end 5 hits.
-
0
-
0
