Det mest udbredte kodeord i 2014 var igen “123456”

21. januar 2015 kl. 08:4213
I den seneste opgørelse over de mest almindelige kodeord, figurer dovenskaben højt med indtil flere gengangere fra forrige år.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

»123456«

»password«

»12345«

»12345678«

Artiklen fortsætter efter annoncen

Ja, opfindsomheden er ikke stor, hvis man kigger på top 10 over de mest almindelige kodeord i Nordamerika, opgjort af sikkerhedsfirmaet SplashID.

Det er nemlig en samling af gengangere og ligetil kodeords-kombinationer, ifølge SplashID.(Se top 25 i bunden)

Undersøgelsen af de mest almindelige kodeord er lavet for at minde folk om, at de er eksponerede for at blive hacket, og baserer sig på 3,3 millioner kodeord indsamlet i Nordamerika og Vesteuropa. Den lækage af millioner af gamle gmail-kodeord, der fandt sted på et russisk site sidste år er eksempelvis ikke blevet talt med.

Det er især de kodeord, der udgøres af en simpel tastekombinationer på keyboardet, som administrerende direktør i Splashdata Morgan Slain advarer mod.

»Kodeord baseret på simple mønstre er stadig populære, til trods for hvor svage de er. Et kodeord, der kun bruger tal skal undgås, især sekvenser. I takt med at flere og flere hjemmesider beder om længere kodeord eller kombinationer af tal og bogstaver, bliver det almindeligt med længere tastatursekvenser, men de er stadig ikke sikre,« siger han.

Ved sekvenser menes, at man som bruger undgår »qwertyuiop«, som er den øverste række af taster på en engelsk/amerikansk tastatur, eller sekvensen »1qaz2wsx«, som er de første to »kolonner« af tal og bogstaver på tastaturet.

Af gode råd til dem, der vil ændre til et godt kodeord, men mangler at blive sat i vej, har SplashID peget på tre tommelfingerregler til det gode kodeord.

  1. Brug kodeord med 8 tegn eller mere som en kombination af tal og bogstaver.
  2. Undlad at bruge det samme kodeord eller brugernavn til flere hjemmesider.
  3. Brug en kodeords-husker, som f. eks. SplashID til at sortere og gemme kodeord, generere tilfældige kodeord og automatisk logge ind på hjemmesider..

Du kan se de 25 mest almindelige kodeord og deres bevægelser i forhold til sidste år her og læse mere om de mest almindelige navne, sportsgrene og fødselsår i kodeord her.

1 - 123456 - No Change
2 - password - No Change
3 - 12345 - Up 17
4 - 12345678 - Down 1
5 - qwerty - Down 1
6 - 123456789 - No Change
7 - 1234 - Up 9
8 - baseball - New
9 - dragon - New
10 - football - New
11 - 1234567 - Down 4
12 - monkey - Up 5
13 - letmein - Up 1
14 - abc123 - Down 9
15 - 111111 - Down 8
16 - mustang - New
17 - access - New
18 - shadow - Unchanged
19 - master - New
20 - michael - New
21 - superman - New
22 - 696969 - New
23 - 123123 - Down 12
24 - batman - New
25 - trustno1 - Down 1

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
21. januar 2015 kl. 14:34

Undlad at bruge det samme kodeord eller brugernavn til flere hjemmesider.

Helt ærligt, jeg har oprettet logins på de først 1000 sider snart. Det er det sygeste råd jeg nogensinde har hørt.

Det er også en uskik når en ubetydelig hjemmeside kræver Fort Knox passwords. Herunder medregner jeg web shops og jeg tillader i øvrigt aldrig webshops at gemme mit kreditkort.

Jeg har et standard password som jeg bruger til disse sider, og så bruger jeg sikre passwords hvor det betyder noget.

11
21. januar 2015 kl. 15:03

Som opfølgning på Kjelds udmelding; så er det helt håbløst, for almindelige mennesker at ha' unikke adgangskoder til alle sites. Jeg har i årevis anbefalet alle omkring mig, at have tre adgangskoder til hver gruppe af profiler/sites/sikkerhedsniveau. Ikke flere; ikke færre.

Webpasswordet (Niveau 1 - ingen kan komme tilbage og skade mig på nogen måde):

Jeg har, ligesom så mange andre inkl. Kjeld, flere hundrede profiler rundt omkring på nettet (forums, wiki, version2 osv osv), som for det meste er knyttet op til min hotmail(spam konto) og med nøjagtig samme adgangskode brugt hver eneste gang. Sites som ikke kan skade mig (inkl. facebook og lign.)

Det personligt password (Niveau 2 - jeg ville tude længe og efterfølgende lang tid på logistik) Dette bruger jeg til min private GMail, pokersites og enkelte spille platforme (Steam) som har mit kreditkort som betalingsmiddel.

Identitets passwordet: (Niveau 3 - Med dette kan du tømme min bank, ændre mit navn og sende mails til min læge) Dette bruges til Borger.dk, banken, nets osv.

Jeg kunne selvfølgelig bruge diverse adgangskode generatore (browser plugins) som kræver master login osv. Men hva' så når jeg er hos mine forældre, på kærestens computer, eller min computer får en teglsten i hovedet? Så skal jeg til at hente min backup ud for overhovedet at kunne logge ind? Ubrugeligt i praktis.

13
21. januar 2015 kl. 22:37

Jeg har i årevis anbefalet alle omkring mig, at have tre adgangskoder til hver gruppe af profiler/sites/sikkerhedsniveau.

Min grundlæggende pasordsfilosofi ligger ret tæt på Christians, bortset fra, at jeg for niveau 2 kan skrive pasordet ned, uden at andre kan forstå det.

Niveau 1: f.eks. ing.dk eller version2 er fuldstændig ligegyldigt. Gætter andre mit pasord og skriver injurier i mit navn, bliver de slettet af admin, jeg får en email om problemet og får efterfølgende et nyt pasord.

Jeg har i små 30 år haft 8 præ- og postfixes og 6 standardpasord, som jeg husker til niveau 2.

Jeg kan derfor skrive mit pasord som f.eks. "gmail/424" ( 4=a2Nu# og pwd2=krO)Pf& ) som kunne være blevet til "a2Nu#krO)Pf&a2Nu#" eller "427" som kunne være blevet til "a2Nu#krO)Pf!fAr3f#".

For mig er det uhyre enkelt at bruge.

8
21. januar 2015 kl. 12:27

Jeg har følgende tommelfingerregler : Generer et password udfra udvalgte bogstaver i dit yndlingsrim, sang eller digt. beton med upper/lower case og brug gerne kontrol karakterer - men hold dig fra æøå hvis du skal bruge det på en udenlandsk computer. Eksempelremse : "Ole sad på en knold og sang" kunne blive til passwordet "Osp1Kos:)"

  • stort K - knolden var stor ...

Når man så har forfattet sit password skriver man det på en seddel og viser den til en kollega i 30 sekunder.

Kan kollegaen huske passwordet efter 5 minutter laves det om ...

Efter min bedste overbevisning er passwords af denn karakter meget robuste og behøver i princippet ikke at skiftes så tit.

Skulle det af en eller anden grund være påkrævet kan man jo altid efterstille et løbenummer...

Passwords af typen Ringo2 vil man kunne huske til sin dødsdag efter at have hørt eller set det i blot 10 millisekunder.

Så på bundlinien står træk lexikalsk mening ud af passwordet, men hold en generator til passwordet i hovedet - så kan du have de ledeste og mest snadskede passwords - og have dem for dig selv - ingen behov for små gule sedler o.s.v.

7
21. januar 2015 kl. 11:04

Ah ja men det jo heller ikke så svært at få folks passwords, så hvorfor bekymre sig? (ironi kan være brugt)

Her spørger de folk på gaden hvad deres password er:

what is your password?

3
21. januar 2015 kl. 09:36

Rådet om at bruge en kombination af bogstaver og tal er ikke specielt godt. De fleste mennesker, der bliver mødt med krav om cifre i kodeordet tilføjer blot et ciffer sidst i kodeordet, og når de bliver bedt om at skifte kodeordet, tæller det bare et op i cifret (password1, password2, osv.). Alternativt erstatter de et eller flere bogstaver med cifre (f.eks. 5e1fie). Begge dele kan ordbogsangreb uden de store problemer modificeres til at klare: De prøver blot alle cifre efter ordet og prøver de mest almindelige substitutioner: S til 5, l eller i til 1, O til 0, E til 3, T til 7 osv. Det håndterer også krav om specialtegn, hvor folk ofte substituerer S med $ eller a med @. Der er garanteret et pænt antal mennesker med kodeordet "P@55w0rd" eller "P@$$w0rd", som føler sig eddersmarte.

Endvidere giver en udvidelse i antallet af brugte tegn kun et lille antal ekstra bit, mens et par ekstra bogstaver (selv om det kun er små bogstaver) giver 9 bit. Så det bedste råd er at bruge mange tegn, og undgå ord eller sekvenser, der kan findes med ordbogsangreb. Sæt f.eks. 2-3 ord, der sjældent forekommer sammen, efter hinanden, f.eks. "FrygtAppelsin". Bland gerne flere sprog, f.eks. "PferdLandgang", da ordbogssøgninger sjældent er flersprogede.

Desværre insisterer en del websteder på, at der absolut SKAL være både store og små bogstaver, cifre og specialtegn i kodeord. Det gør dem svære at huske for mennesker og i reglen kun marginalt sikrere mod angreb.

6
21. januar 2015 kl. 10:50

Desværre insisterer en del websteder på, at der absolut SKAL være både store og små bogstaver, cifre og specialtegn i kodeord. Det gør dem svære at huske for mennesker og i reglen kun marginalt sikrere mod angreb.

Man kan jo vælge et specialtegn til at adskille ord og bruge talsubstitution af bestemte bogstaver. Så kunne man f.eks ende med "Pferd%L4ndg4ng", hvis webstedet insisterer på tal og specialtegn. Selv øger jeg passwordlængden med 10 ved altid at starte med 5 mellemrum og 5 backspace ;-)

2
21. januar 2015 kl. 09:26

  1. 1 - 123456 - No Change
  2. 2 - password - No Change
  3. 3 - 12345 - Up 17
  4. 4 - 12345678 - Down 1
  5. 5 - qwerty - Down 1
  6. 6 - 123456789 - No Change
  7. 7 - 1234 - Up 9
  8. 8 - baseball - New
  9. 9 - dragon - New
  10. 10 - football - New
  11. 11 - 1234567 - Down 4
  12. 12 - monkey - Up 5
  13. 13 - letmein - Up 1
  14. 14 - abc123 - Down 9
  15. 15 - 111111 - Down 8
  16. 16 - mustang - New
  17. 17 - access - New
  18. 18 - shadow - No Change
  19. 19 - master - New
  20. 20 - michael - New
  21. 21 - superman - New
  22. 22 - 696969 - New
  23. 23 - 123123 - Down 12
  24. 24 - batman - New
  25. 25 - trustno1 - Down 1

1
21. januar 2015 kl. 09:09

Det har ofte undret mig hvordan disse firma'er skaffer sig adgang til denne information, specielt hvis kodeordene (selvfølgelig) ikke er gemt i plain text nogen steder overhovedet. Nogen der kan forklare den slags?

5
21. januar 2015 kl. 10:40

Firmaerne laver deres lister på baggrund af lækkede password-tabeller. Det er altså kun en oversigt over passwords fra sites, der gemmer i plain text og har en generelt dårligt sikkerhed, så tabellen kunne hackes.

9
21. januar 2015 kl. 12:45

der er ingen forbindelse mellem folks vaner og et tilfældigt sites sikkerhedspolitik. - og folk har slemt dårlige vaner mht. passwords ... desværre ...