'Source code security plugin' by Christiaan Colen. CC BY-SA 2.0 https://www.flickr.com/photos/132889348@N07/20607701226/
IT/IKT

Et studie i elendighet og dårlige passord

pw-ingressI dag meldte blant annet TrustedSec og mange andre kilder at over 450 000 brukernavn og passord i klartekst var på avveie. Lekasjen kommer fra Yahoo! Voices  – en tjeneste der brukerne selv kan publisere artikler, videoer og bildeshow om forskjellige tema. Med nesten en halv million passord tilgjengelig tenkte jeg at jeg kunne se litt på kvaliteten på passord folk bruker. Resultatet er mildt sagt nedslående.

Ikke at jeg er så veldig overrasket, men dette er jo tross alt en tjenete der du publiserer innhold som er knyttet til deg selv. Omdømmet ditt kan vel få seg en knekk om noen begynner å utgi seg for deg og publisere tvilsomt innhold.

Passord i klartekst

Det mest problematiske med denne lekasjen er at passordene var lagret i klartekst. Uvedkommende får tilgang til passordene uten noen som helst innsats. Med LinkedIns lekasje av usalta passordhash måtte man i alle fall noe innsikt for å knekke hashet før en fikk tak i passordet.

Og når en vet at de fleste bruker samme passord på flere tjenster vil mange nå også kunne få tilgang til disse tenestene enten det nå er Twitter, Facebook, jobbens økonomisystem eller nettbanken.

 

Passordlengde

Ser vi på passordlengde så er det ikke så alt for ille. Rent bortsett fra at over 10 000 brukerkontoer hadde tomt passord. Dette kan være reelt, men det kan også være en feil i datagrunnlaget. For eksmepel kan kontoene være uten lokale passord fordi de er knyttet til en ekstern autentiseringsløsning slik Feide-tjenester gjør det. I så fall er disse 10 000 brukerkontoene fremdeles sikre.

De fleste har passord som er mellom 6 og 10 tegn. Det lengste var 30 tegn langt.

pw-lengde

Men vi skal se at det hjelper lite med 8-10 tegns lengde når innholdet er alt for enkelt å finne ut av.

 

Passordstyrke

Det finnes mange forskjellige måter å beregne et passords styrke/kompleksistet på. Jeg vlagte å bruke algoritmen som benyttes påThe Password Meter (Broken link). Det gir deg en verdi fra 0 til 100 som beskriver hvor godt et passord er basert på forskjellige kriterier.

Jeg undersøkte styrken til alle passordene og summerte antallet for hver styrkeverdi (1-100). For å forenkle litt grupperte jeg de i grupper som 0, 1-5, 6-10 osv. I tillegg gjorde jeg antallet til prosentandelen av alle passord.

pw-styrke

Over hvert fjerde passord har en elendig styrke på 6-10!

Om bare ser på de grovkorna kategoriene så ser vi at de aller aller fleste passord er alt for dårlige. 72% av passordene er svake eller veldig svake.

pw-styrke-kategori

 

Mest brukte passord

Når det kommer til de mest brukte passordene så var det ikke de veldig store overraskelsene – enkle kombinasjoner, ord og navn. Mange vil være de samme for nordmenn, mens noen er jo mest for engelskspråklige.

Antall Passord
10655 <blank>
1667 123456
780 password
437 welcome
333 ninja
250 abc123
222 123456789
208 12345678
205 sunshine
202 princess
172 qwerty
164 writer
162 monkey
161 freedom
160 michael
160 111111
140 iloveyou
139 password1
134 shadow
133 baseball
132 tigger
131 1a1a1a1b
126 success
121 blackhatworld
111 jordan
110 whatever
109 michelle
107 dragon
106 superman
106 purple

 

 

Data for grafene

Passordlengde:

Lengde Antall
0 10655
1 115
2 66
3 302
4 2745
5 5322
6 79623
7 65611
8 119117
9 65960
10 54754
11 21190
12 21679
13 2607
14 1499
15 853
16 504
17 318
18 247
19 92
20 174
21 17
22 17
23 5
24 5
25 2
26 1
27 1
28 1
29 3
30 4

 

Passordstyrke:

Styrke Antall
0 15897
1-5 14587
6-10 118753
11-15 27220
16-20 9458
21-25 26635
26-30 30898
31-35 45075
36-40 38422
41-45 24604
46-50 30675
51-55 21833
56-60 14839
61-65 11864
66-70 7237
71-75 5128
76-80 3065
81-85 2476
86-90 1456
91-95 1085
96-100 2282

 

Styrke Kategori Prosent
0-20 Veldig svak 41,0 %
21-40 Svak 31,1 %
41-60 Bra 20,3 %
61-80 God 6,0 %
81-100 Veldig god 1,6 %

 

Illustrasjonsfoto: ‘Source code security plugin’ by Christiaan Colen. CC BY-SA 2.0

Diskusjon

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s