To "123456" είναι το πιο δημοφιλές password σύμφωνα με έρευνα της Imperva

[haris_led]

Off Topic

Τώρα θυμήθηκα το ανέκδοτο:
Κατόπιν τακτικού ελέγχου κωδικών σε μια εταιρία, οι διαχειριστές είδαν έναν περίεργο κωδικό:
ΧιούηΛιούηΝτιούηΝτόναλντΝταίζηΜίκυΜίνυΠλούτο ο οποίος αντιστοιχούσε στον λογαριασμό μιας Ξανθιάς.

Οπότε της τηλεφωνούν και της λένε "μα γιατί έχετε τόσο μεγάλο κωδικό κυρία μου;"
και η ξανθιά απαντάει: "μα αφού έλεγε να βάλω τουλάχιστον οχτώ χαρακτήρες!"

[ipo]

Απ΄ ότι διάβασα, τα συγκεκριμένα passwords είχαν δημοσιευθεί απο κάποιον ο οποίος τα απέσπασε μέσω fishing, για να κάνει τη φιγούρα του. Μετά τα κατέβασε. Ο ερευνητής όμως τα πρόλαβε πριν κατέβουν.. Ή τουλάχιστον έτσι ισχυρίζεται αυτός που έκανε την έρευνα..

Πάντως, αν είναι όντως προϊόν fishing, όπου τα θύματα κατά κανόνα δεν είναι ακριβώς αυτό που λέμε "λαμπρά μυαλά" , λογικό είναι να χρησιμοποιούν ηλίθια password. Δεν αποτελεί όμως πραγματικό στατιστικό δεδομένο στο σύνολο των χρηστών, αλλά στο μάλλον περιορισμένης ευφυίας τμήμα του.

Άρα, για να είμαστε ακριβείς, τα πιο συνηθισμένο password μεταξύ των θυμάτων του fishing είναι αυτά που λέει.

Ενδιαφέρουσα η θέση σου. Έχεις κάποιο link για να την τεκμηριώσεις, διότι αλλάζει σημαντικά τα συμπεράσματα της είδησης του zdnet;

[jap]

Όπως τα λέει ο φίλος είναι. Δες για παράδειγμα εδώ και υπάρχουν και πολύ παλιότερες αναφορές. Stale news (και παραποιημένα) δεν βάζουν μόνο τα ελληνικά sites.

[button]

δοκιμάσατε να password 25 ψηφίον εγώ ο ΙΔΙΩΣ το ξεχνάω
αλλά δεν παίζει να βάζεις τόσο δύσκολο κωδικό σε ένα forum οπός αυτό
αλλά σε πράγματα που έχουν λεφτά και προσωπικά δεδομένα ΤΟΤΕ ΝΑΙ!!

εγω το βλήμα εκανα pay pal και 1 χρόνω ακόμα να δοκιμάσω έχωσα τόσο πολύπλοκο password

[ipo]

Όπως τα λέει ο φίλος είναι. Δες για παράδειγμα εδώ και υπάρχουν και πολύ παλιότερες αναφορές. Stale news (και παραποιημένα) δεν βάζουν μόνο τα ελληνικά sites.

Πρέπει να διακρίνουμε την είδηση σε δύο κομμάτια. Στο πρώτο που αναφέρεται στην έρευνα της Impreva, που είναι και το μεγαλύτερο μέρος της είδησης, με τα συμπεράσματα και τους πίνακες και στο δεύτερο, που αφορά σε μία μικρή παράγραφο στην είδηση:

"It’s important to point out that, the same password “123456” also topped a similar chart based on statistical analysis of 10,000 Hotmail passwords published in October, 2009."

Η δεύτερη περίπτωση είναι αυτή που θίγεις εσύ και ο ares παραπάνω, αλλά δε συγκρίνονται ποιοτικά με το αντικείμενο που πραγματεύεται η αρχική έρευνα. Ο λόγος είναι ότι η μία έρευνα βασίζεται σε database και η άλλη σε phishing. Όπως εύστοχα λοιπόν ειπώθηκε από τον ares, το δείγμα που προέκυψε από phishing, είναι σχετικά αναμενόμενο να είναι λιγότερο ενημερωμένο για θέματα ασφαλείας και συνεπώς να έχει απλούς, έως επικίνδυνους, κωδικούς χρήστη.

Η κύρια έρευνα όμως που πραγματεύεται η είδηση του zdnet, η οποία βρίσκεται σε αυτό το νήμα, φαίνεται να είναι άσχετη με το phishing και εκτελεσμένη ορθά.

[akis1009]

Off Topic

Σε πολλά συστήματα, αντί το password να αίναι αποθηκευμένο σε plain-text, για λόγους ασφαλείας αποθηκεύεται το output μιας one-way function. Αν δεις το output, δεν μπορείς εύκολα να υπολογίσεις το input (το password). Αν ξέρεις το password εκ των προτέρων όμως, το output είναι εύκολο να υπολογίσεις και είναι και πάντα το ίδιο. Άρα σε αυτή την περίπτωση, αρκεί μια αναζήτηση σε βάση για ίδια outputs και ένα απλό dictionary attack για το top 10. xD

Που σημαίνει ότι και πάλι αυτοί που κάνουν τους ελέγχους , πρέπει να έχουν στα χέρια τους και την βάση δεδομένων (ή αρχείο ) στην οποία αποθηκεύονται οι κωδικοί. Συνήθως σε ασφαλή site , μετά από κάποιο αριθμό λανθασμένων απόπειρων γίνεται block η ip για κάποιο συγκεκριμένο χρονικό διάστημα.
Ή τουλάχιστον αν δεν το κάνει το σύστημα το ίδιο θα το κάνει κάποιο ενδιάμεσο firewall, οπότε το πολύ να μπορούν να ελέγχουν καμμιά 20αριά- 30αριά username-password ανά ip.
Και πάλι όμως μου φαίνεται πολύ μεγάλο το δείγμα.
Επίσης αναφέρει
"Είναι σημαντικό να σημειωθεί πως το "123456" είχε εντοπισθεί ως password σε στατιστική ανάλυση 10000 λογαριασμών του hotmail τον περασμένο Οκτώβριο."

[DSLaManiaC]

Το λάθος είναι και της Hotmail και της κάθε hotmail που αφήνει χρήστες να έχουν τέτοιους κωδικούς.

[ares]

Ενδιαφέρουσα η θέση σου. Έχεις κάποιο link για να την τεκμηριώσεις, διότι αλλάζει σημαντικά τα συμπεράσματα της είδησης του zdnet;

Χμμ.. Το άρθρο που διάβασα εγώ ήταν του περασμένου Οκρωβρίου.. Έχεις δίκιο. Το δικό σου είναι Του Ιανουαρίου. Απο το blog του Dancho Danchev . http://blogs.zdnet.com/security/?p=4538

The recently leaked accounting data of thousands of Hotmail users — Gmail has also been affected — obtained through what appears to be a badly executed phishing campaign, once again puts the spotlight on the how bad password management practices remain an inseparable part of the user-friendly ecosystem.

According to a statistical analysis of the 10,000 passwords published by Bogdan Calin at Acunetix, 42% of the phished users use lower alpha passwords only (a to z), 19% rely on numbers only, with 22% of the total sampled population using a 6 character password (Live.com’s minimum), followed by 21% of users using 8 character passwords.

Πάντως, αν όντως τα στατιστικά αφορούν το σύνολο των χρηστών, δεν έχουν παρθεί δηλαδή μέσω εξαπάτησης χρηστών αλλά παραβίασης κάποιου server, τότε... τι να πω..

[Antre]

Το λάθος είναι και της Hotmail και της κάθε hotmail που αφήνει χρήστες να έχουν τέτοιους κωδικούς.

Σωστά. Noobs υπάρχουν παντού αλλά με απλούς τρόπους μπορείς άνετα να τους προστατέψεις... το θέμα είναι, θέλουν να τους προστατέψουν;;;

Και σε πολλά site δεν σε αφήνουν να βάλεις τόσο γελοίους κωδικούς (πχ όταν φτιάχνεις mail στο yahoo δεν σε αφήνει να βάλεις εύκολο κωδικό)

[c4lex]

Που σημαίνει ότι και πάλι αυτοί που κάνουν τους ελέγχους , πρέπει να έχουν στα χέρια τους και την βάση δεδομένων (ή αρχείο ) στην οποία αποθηκεύονται οι κωδικοί. Συνήθως σε ασφαλή site , μετά από κάποιο αριθμό λανθασμένων απόπειρων γίνεται block η ip για κάποιο συγκεκριμένο χρονικό διάστημα.
Ή τουλάχιστον αν δεν το κάνει το σύστημα το ίδιο θα το κάνει κάποιο ενδιάμεσο firewall, οπότε το πολύ να μπορούν να ελέγχουν καμμιά 20αριά- 30αριά username-password ανά ip.
Και πάλι όμως μου φαίνεται πολύ μεγάλο το δείγμα.
Επίσης αναφέρει
"Είναι σημαντικό να σημειωθεί πως το "123456" είχε εντοπισθεί ως password σε στατιστική ανάλυση 10000 λογαριασμών του hotmail τον περασμένο Οκτώβριο."

Βασικά απαντούσα στο πρόβλημα της κρυπτογρταφίας του password στη βάση. Αν έχεις όλα τα password, ακόμα και σε κρυπτογρραφημένη μορφη, δεν είναι δύσκολο να βγάλεις ένα top 10. O τρόπος που πήραν τα password είναι με SQL injection. Δίνεις ένα κακόβουλο input σε κάποιο πεδίο όπου δεν κάνει σωστό type-checking πχ και αρχίζει και ξερνάει tables η βάση.

Από την άλλη, μπορεί η έρευνα να έγινε και σε μη-παραβιασμένους servers. Τα ίδια αποτελέσματα πάνω κάτω θα βγάλουν.

[ipo]

Που σημαίνει ότι και πάλι αυτοί που κάνουν τους ελέγχους , πρέπει να έχουν στα χέρια τους και την βάση δεδομένων (ή αρχείο ) στην οποία αποθηκεύονται οι κωδικοί.

Νομίζω ότι οι κωδικοί στις σοβαρές υπηρεσίες παροχής πρόσβασης σε κάποιο σύστημα (π.χ. ATM, ebanking) δεν αποθηκεύονται σε αρχείο, αλλά μόνο το output της σύνθετης μονόδρομης συνάρτησης που ανέφερε ο c4lex. Και να διαρρεύσει αυτό, δε βοηθά πολύ τον κλέφτη, αφού η συνάρτηση είναι μαύρο κουτί γι' αυτόν. Δεν μπορεί να χρησιμοποιήσει κάποιος το output της συνάρτησης ως input, δεν έχει νόημα.

Ο κωδικός δημιουργείται μόνο μία φορά, είτε από το χρήστη, είτε από αυτόματο μηχάνημα που τον εκτυπώνει σε συστημένο φάκελλο, δημιουργείται το output του και αυτό μόνο αποθηκεύεται.

[efo355]

Ναι, αλλά κανονικά δεν σε ρωτάει πριν στείλει τα όποια στοιχεία; Και επειδή συνήθως χρησιμοποιεί μόνο την IP σου, δεν παίρνει περισσότερες πληροφορίες απ' ό,τι θα μπορούσε να δει έτσι κι αλλιώς οποιαδήποτε σελίδα, με οποιονδήποτε browser, με ή χωρίς τη συναίνεση σου.

Ναι αλλά και πάλι σε βάζει σε σκέψεις....σωστά; Πάντως πιστεύω ότι συμφωνούμε στο γεγονός ότι οι πιο πολλοί δεν έχουν ιδέα περί ασφάλειας προσωπικών δεδομένων

[tsioutotrelo]

μετά από αυτά που διάβασα πάω να αλλάξω κωδικούς..........

[DJman]

Εγω νομιζα πως το πιο δημοφιλες ηταν το 1234.

[Simpleton]

Ναι αλλά και πάλι σε βάζει σε σκέψεις....σωστά; Πάντως πιστεύω ότι συμφωνούμε στο γεγονός ότι οι πιο πολλοί δεν έχουν ιδέα περί ασφάλειας προσωπικών δεδομένων

Όταν βλέπω πόσοι γνωστοί μου ακόμα την παθαίνουν με το phishing (ειδικά το συνειδητό -> «δες ποιος σε έχει μπλοκάρει») μέσω MSN και διάφορα άλλα, δεν έχω παρά να συμφωνήσω.

Εγω νομιζα πως το πιο δημοφιλες ηταν το 1234.

Θα μπορούσε να είναι, αλλά πολλές σελίδες απαιτούν κωδικούς με τουλάχιστον 6 χαρακτήρες.