I dag meldte blant annet TrustedSec og mange andre kilder at over 450 000 brukernavn og passord i klartekst var på avveie. Lekasjen kommer fra Yahoo! Voices – en tjeneste der brukerne selv kan publisere artikler, videoer og bildeshow om forskjellige tema. Med nesten en halv million passord tilgjengelig tenkte jeg at jeg kunne se litt på kvaliteten på passord folk bruker. Resultatet er mildt sagt nedslående.
Ikke at jeg er så veldig overrasket, men dette er jo tross alt en tjenete der du publiserer innhold som er knyttet til deg selv. Omdømmet ditt kan vel få seg en knekk om noen begynner å utgi seg for deg og publisere tvilsomt innhold.
Passord i klartekst
Det mest problematiske med denne lekasjen er at passordene var lagret i klartekst. Uvedkommende får tilgang til passordene uten noen som helst innsats. Med LinkedIns lekasje av usalta passordhash måtte man i alle fall noe innsikt for å knekke hashet før en fikk tak i passordet.
Og når en vet at de fleste bruker samme passord på flere tjenster vil mange nå også kunne få tilgang til disse tenestene enten det nå er Twitter, Facebook, jobbens økonomisystem eller nettbanken.
Passordlengde
Ser vi på passordlengde så er det ikke så alt for ille. Rent bortsett fra at over 10 000 brukerkontoer hadde tomt passord. Dette kan være reelt, men det kan også være en feil i datagrunnlaget. For eksmepel kan kontoene være uten lokale passord fordi de er knyttet til en ekstern autentiseringsløsning slik Feide-tjenester gjør det. I så fall er disse 10 000 brukerkontoene fremdeles sikre.
De fleste har passord som er mellom 6 og 10 tegn. Det lengste var 30 tegn langt.
Men vi skal se at det hjelper lite med 8-10 tegns lengde når innholdet er alt for enkelt å finne ut av.
Passordstyrke
Det finnes mange forskjellige måter å beregne et passords styrke/kompleksistet på. Jeg vlagte å bruke algoritmen som benyttes påThe Password Meter (Broken link). Det gir deg en verdi fra 0 til 100 som beskriver hvor godt et passord er basert på forskjellige kriterier.
Jeg undersøkte styrken til alle passordene og summerte antallet for hver styrkeverdi (1-100). For å forenkle litt grupperte jeg de i grupper som 0, 1-5, 6-10 osv. I tillegg gjorde jeg antallet til prosentandelen av alle passord.
Over hvert fjerde passord har en elendig styrke på 6-10!
Om bare ser på de grovkorna kategoriene så ser vi at de aller aller fleste passord er alt for dårlige. 72% av passordene er svake eller veldig svake.
Mest brukte passord
Når det kommer til de mest brukte passordene så var det ikke de veldig store overraskelsene – enkle kombinasjoner, ord og navn. Mange vil være de samme for nordmenn, mens noen er jo mest for engelskspråklige.
Antall | Passord |
10655 | <blank> |
1667 | 123456 |
780 | password |
437 | welcome |
333 | ninja |
250 | abc123 |
222 | 123456789 |
208 | 12345678 |
205 | sunshine |
202 | princess |
172 | qwerty |
164 | writer |
162 | monkey |
161 | freedom |
160 | michael |
160 | 111111 |
140 | iloveyou |
139 | password1 |
134 | shadow |
133 | baseball |
132 | tigger |
131 | 1a1a1a1b |
126 | success |
121 | blackhatworld |
111 | jordan |
110 | whatever |
109 | michelle |
107 | dragon |
106 | superman |
106 | purple |
Data for grafene
Passordlengde:
Lengde | Antall |
0 | 10655 |
1 | 115 |
2 | 66 |
3 | 302 |
4 | 2745 |
5 | 5322 |
6 | 79623 |
7 | 65611 |
8 | 119117 |
9 | 65960 |
10 | 54754 |
11 | 21190 |
12 | 21679 |
13 | 2607 |
14 | 1499 |
15 | 853 |
16 | 504 |
17 | 318 |
18 | 247 |
19 | 92 |
20 | 174 |
21 | 17 |
22 | 17 |
23 | 5 |
24 | 5 |
25 | 2 |
26 | 1 |
27 | 1 |
28 | 1 |
29 | 3 |
30 | 4 |
Passordstyrke:
Styrke | Antall |
0 | 15897 |
1-5 | 14587 |
6-10 | 118753 |
11-15 | 27220 |
16-20 | 9458 |
21-25 | 26635 |
26-30 | 30898 |
31-35 | 45075 |
36-40 | 38422 |
41-45 | 24604 |
46-50 | 30675 |
51-55 | 21833 |
56-60 | 14839 |
61-65 | 11864 |
66-70 | 7237 |
71-75 | 5128 |
76-80 | 3065 |
81-85 | 2476 |
86-90 | 1456 |
91-95 | 1085 |
96-100 | 2282 |
Styrke | Kategori | Prosent |
0-20 | Veldig svak | 41,0 % |
21-40 | Svak | 31,1 % |
41-60 | Bra | 20,3 % |
61-80 | God | 6,0 % |
81-100 | Veldig god | 1,6 % |
Illustrasjonsfoto: ‘Source code security plugin’ by Christiaan Colen. CC BY-SA 2.0