Bezpečnost | Heslo | Únik dat

Jedním z nejčastějších hesel v Česku je prý maminka. Ale nebojte se, tak hrozné to ve skutečnosti není

  • NordPass zpracoval nový žebříček nejpoužívanějších hesel
  • Experti zpracovali 3 TB dat z všemožných úniků
  • Jsou to tak děsně pitomá hesla, až se nabízí vysvětlení

Naši čtenáři používají silná hesla. Tedy alespoň podle ankety z loňského roku. Jak je na tom ale svět a celé Česko? Na to po roce opět hledali odpověď v NordPassu a sestavili čerstvý žebříček 200 nejpoužívanějších hesel.

Světu vládne password

Takže se pojďme bez dalších zbytečných řečí podívat na výsledky. První místo v celosvětovém srovnání patří slovíčku – chvíle překvapení – password! Zatímco v letech 2019-2021 se toto nešťastné heslo ještě přetahovalo s ostatními žhavými adepty o 4. a 5. místo, letos už s přehledem bralo zlato.

0054c980-78a2-4076-bed4-2de346c9e031
TOP10 pro celý svět

Tím odsunulo na stříbrnou pozici velmistra v podobě číselné řady 123456, která vítězila v letech 2020-2021. Bronz nakonec bere řada 123456789, která je sice o 3 znaky delší, nicméně úplně stejně pitomá a nebezpečná. Podobná hesla nechybějí v žádném crackovacím slovníku.

První desítku konečně uzavírají výrazy jako guest, qwerty, 12345678, 111111, 12345, col123456 a ještě jeden naivní pokus, jak do číselné řady vnést trošku té komplexnosti: 123123. Je to ale naprosto marné, prvních dvacet nejčastějších hesel totiž kdejaký současný dekodér prolomí tak jako tak nejvýše v řádu stovek milisekund.

Češi mají rádi maminku

V seznamu zemí, pro které NordPass zpracoval žebříček, nechybí ani Česko a je to úplně stejně žalostný pohled. Nutno ale podotknout, že vzorek je zároveň výrazně menší.

Oproti světu jsme krapet pozadu, první tři místa totiž opět patří číselným řadám a heslo heslo okupuje až bramborovou pozici. Hned za ním pak u srdce jistě každého zahřeje slovíčko maminka.

916baa66-83fc-44f2-a09b-66f4efd231ac
TOP10 pro Českou republiku

Maminka je o pár cyklů procesoru bezpečnější než její anglofonní verze mother, má totiž jeden znak k dobru a nemusí figurovat ve všech crackovacích slovnících. I proto zabere prolomení nebohé maminky zabere až jednu celou sekundu. Ne že by to v praxi hrálo nějakou roli.

Maminky proto používejme raději jen k pečení nedělních bábovek, ale určitě ne k zabezpečení našich digitálních existencí.

Beruška, miláček, Terezka

Hned za maminkou starší v české verzi statistiky heslo martin a o kousek dál ještě veronika a michal. Do první dvacítky se nám nakonec vešla také monika, milacek, lucinka, beruska, dominik a terezka.

b1ae13c0-a5af-42e2-ad9b-9300b8bcd58c
TOP10 pro Slovensko

Ve všech těchto případech platí v podstatě to samé co pro maminku. Jedná se o široce používané – slovníkové – výrazy, takže je může rychlý dekódovací automat s českým seznamem slov vyzkoušet prakticky ve zlomku sekundy.

A i kdyby takové výrazy ve slovníku nebyly, kvůli tomu, že je tvoří jen znaky abecedy a jsou povětšinou velmi krátká, i prostým zkoušením všech myslitelných kombinací je současný výkonný počítač odhalí relativně brzy.

Délka hesla a počet možných kombinací

Mějme počítač, který dokáže otestovat naivní hrubou silou (brute-force) 1 milion hesel za sekundu, a neznámé heslo o délce 8 znaků bez diakritiky:

  • Pokud bude heslo tvořit jen 26 malých znaků abecedy, dělá to 268 možných kombinací: zhruba 208,8 miliard. Náš počítač je všechny projde za 58 hodin
     
  • Pokud bude heslo tvořit 52 velkých a malých znaků abecedy, počet nám vyskočí na 53,5 bilionů a doba nejvýše na 1,69 roků
     
  • Pokud do hry zapojíme i číslice (628), bude to 218 bilionů možností a až 6,9 let
     
  • No, a pokud do hry zapojíme ještě základní speciální znaky !@#$%^&*()+_, počet možností poskočí na 748, což konečně dělá 899 bilionů a až 28,4 let dekódování hrubou silou.

(Kalkulačku pro různě dlouhá a komplexní hesla najdete třeba zde)

Vypadá to docela slibně, jenže toto je maximální možná doba a počítač může být zároveň klidně i rychlejší. Stejně tak může automat narazit na správnou kombinaci třeba už za pár minut podle toho, jakým způsobem volí kombinace znaků.

6686235e-b956-42ff-85f9-f3f0de0112ca
Příklad českého slovníku se 162 tisíci slov

Co je však nejdůležitější, máme tu přece ty slovníky. Mohou to být prosté seznamy výrazů v daném jazyce, stejně dobře ale poslouží i zmíněné historické kompilace uniklých hesel. Pokud náš stroj zpracuje milion slov za sekundu, výrazy jako password, martin, zuzanka a maminka odhalí prakticky okamžitě.

5916e9e7-702c-4a79-a12b-ffb792f8180d
Prakticky okamžité prolomení zahašovaného hesla „rohlik“ kvůli zastaralé a děravé hašovací funkci MD5

Nehledě na to, že se dnes do hry zapojují i další faktory, v případě hašovaných hesel odhalené chyby v jejich algoritmech, různé předpočítané polotovary (tzv.  rainbow tables) a další techniky. V praxi je proto prolamování zejména hloupých hesel i o mnoho řádů rychlejší.

Možná není až tak zle

Ve skutečnosti ale nejspíše není tak zle, jak to spočítal NordPass. Každého, kdo se na internetu pohybuje alespoň jednou do týdne, už totiž jistě napadlo, že tady něco nehraje. Prakticky žádné heslo z celého seznamu – ať už toho celosvětového, nebo českého – totiž neodpovídá současným bezpečnostním standardům, se kterými se setkáváme na každém kroku při cestě internetem.

8396c291-7564-4028-81e3-286f6c489148
TOP10 pro roky 2019-2021 (PDF)

Stručně řečeno, heslo 12345 (3. místo v ČR), byste dnes nemohli použít jak na Googlu, tak nikde jinde. A pokud přece jen, bude to nejspíše jen malý webík vašeho kamaráda, na kterém určitě nejde o život.

Nová databáze se starými hesly?

Jak je tedy možné, že se podobná hesla, která nesplňují prakticky žádné současné standardy, mohla objevit v letošním žebříku? Je to prosté, ve skutečnosti to dost možná budou hesla stará klidně i celé roky. Autoři sice společně s nezávislými experty, kteří na darkwebu sbírají uniklé databáze, zpracovali okolo 3 TB surových dat, zpravidla se ale jedná o kompiláty.

Záškodník X se tedy mohl letos pokoušet prodat seznam hesel a uživatelských jmen Y, ovšem mohl to být kompilát hromady starších databází v novém provedení.

A pokud už se jednalo o čerstvou databázi, vedle nových uživatelských účtů a těch, u kterých jsme v průběhu let sami změnili heslo, mohly z důvodu kompatibility obsahovat i mnohá prehistorická hesla s jiným standardem zabezpečení.

V dobách stařičkého ICQ jsem ostatně sám používal dílem z legrace heslo klaus, které mi sloužilo ještě v roce 2010. Už tou dobou přitom ICQ u nových účtů vyžadovalo mnohem delší a složitější variantu.

Podobná hesla už dnes neprodjou

Kdybychom tedy dnes, na sklonku roku 2022, mávli kouzelnou hůlkou a získali seznam hesel uživatelů na současném Gmailu nebo třeba Outlooku, realita by měla být diametrálně odlišná. Na žádné z těchto služeb si totiž tak pitomé heslo rozhodně nevytvoříte.

Podobné statistiky jsou tedy tak trochu pohledem do minulosti. Stejně jako když se za letní noci podíváte na hvězdnou oblohu.

Diskuze (13) Další článek: Skončilo vyšetřování havárie indonéského Boeingu 737, který se zřítil do Jávského moře. Vina padá na haprující techniku i posádku

Témata článku: , , , , , , , , , , , , , , , , , , , , ,