A korábbi években sajnos igen tekintélyes mértékben nőtt annak az adatvagyonnak a mérete, amely az eddig nyilvánosságra került adatszivárgási esetekben kompromittálódott belépési információk gyűjteményének tekinthető. Erre támaszkodik a híres Have I Been Pwned? oldal, ahol bárki utánajárhat, hogy személyes adatai rossz kezekbe kerültek-e egy korábbi incidens során. Ezt használja többek között egy sor nagyvállalat arra, hogy saját beléptetési rendszereinél automatikusan tudjon szűrni, javítási javaslatokat tenni. A Google böngészőjében szintén erre az adattömegre alapozva került be egy automatikus figyelmeztető funkció.

Riasztó eredmények

A többek között a GitHub és GitLab felületein is elérhető infotengert egy ciprusi egyetemen tanuló török informatikushallgató alapos elemzésnek vetette alá. Az ebből készült tanulmányból sok érdekes, egyben riasztó eredmény rajzolódott ki.

A több mint egymilliárd adatsort tartalmazó nyersanyag összességében kevesebb mint 169 millió jelszót tartalmazott. Ezek között a legtöbbször az '123456' karaktersor bukkant fel. A meglehetősen fantáziátlan és biztonsági szempontból katasztrofálisan gyenge jelszóra több mint 7 millió találat volt. Másként fogalmazva: minden 142 jelszóból egy ezt használta.

Kiderült az is, hogy átlagosan közel 9,5 karakterből áll egy jelszó, ami nem is annyira tragikus hosszúság, bár biztonsági szakemberek ezt az attribútomot ideális esetben inkább a 16-24 karakteres sávban, vagy még feljebb szeretik látni.

Bár ma már egyre több olyan oldal, szolgáltatás van, ahol elengedhetetlen a speciális karakterek használata egy jelszó megadásánál, az utóbbi öt év során kiszivárgott belépési adatok közül mindössze 12 százalék tartalmazott ilyet. A jelszavak 29 százaléka csak betűkből, 13 százalék pedig kizárólag számokból állt. Ezeket a nagyon primitív megoldásokat hasonlóan primitív kódfeltörő algoritmusokkal ki is lehet játszani.

Az összes jelszó közül valamivel kevesebb mint 9 százalékot tettek ki az egyedi példányok, azaz azok a kódsorok, amelyek egyszer sem ismétlődtek meg a listában. Érdekes módon egyébként ezek között csak egy kisebb részt képviselnek a teljesen értelmetlen jelszavak.

Toplistás célpontok

A feltörési kísérletek hatékonyságát és gyorsaságát nagyban javíthatja az, ha a hekkerek első körben csak egy szűkebb listáról válogatott kódsorokkal próbálnak házon belülre kerülni. Ebből a szempontból sem túl megnyugtató az egyetemi hallgató elemzése, hiszen az 1000 leggyakrabban előforduló változat a teljes állomány 6,6 százalékát lefedi. Magyarán átlagosan 15 esetből egyszer már egy ilyen rövidke adatbázissal is simán hozzáféréshez lehet jutni.

A megfelelő algoritmusokkal persze ennél jóval nagyobb listákon is gyorsan át lehet szaladni. Így nem árt azt sem megemlíteni, hogy a legnépszerűbb 1 millió jelszó már több mint 36 százalékos, a Top 10 millió pedig 54 százalékos "sikerrátával" kecsegteti a zavarosban halászókat.