Az idén Magyarországon az „123456” a leggyakoribb jelszó, ami új trendet jelez. Ugyanakkor a tavalyi győztes, az „admin” idén fel sem került a listára, globálisan pedig csak a 97. helyen áll.
A NordPass közzétette éves „Top 200 leggyakoribb jelszó” című kutatása hatodik kiadását, amiből kiderül, hogy melyek a leggyakoribb jelszavak világszinten, valamint 44 országban. Idén a NordPass azt is megvizsgálta, mennyiben térnek el a munkahelyi fiókok védelmére használt vállalati jelszavak a személyes fiókok jelszavaitól.
Az egyéni felhasználók jelszavai 2024-ben – mi változott egy év alatt?
A személyes jelszavak vizsgálata a hatodik alkalommal sem mutat túl kedvező képet. A NordPass, amely a NordStellar együttműködésben végezte el a vizsgálatot, arra a következtetésre jutott, hogy az idei listában megint csak a lehető legrosszabb jelszóválasztások bukkannak fel. Ugyanakkor egyes trendek gyökeresen újak, és ezeket érdemes alaposabban szemügyre venni.
- A világszinten idén leggyakoribb jelszavak közel fele a számok és betűk legegyszerűbb billentyűkombinációiból áll, mint például a „qwerty1”, „1q2w3e4r5t” és az „123456789”. Magyarország sem kivétel, mivel itt is ilyen jelszavak állnak az élen.
- Bár a szakemberek rendre arra figyelmeztetik a netezőket, hogy használjanak erősebb jelszavakat, sokan a jelek szerint félreértették, hogy mi a teendő. A „qwerty” népszerűségével már vetekszik a hasonlóan gyenge „qwerty123”, ami jelenleg a legnépszerűbb jelszó Kanadában, Litvániában, Hollandiában, Finnországban és Norvégiában. Magyarországon is jelentőset lépett előre idén, hiszen a második helyre került.
- A „password” szó immáron az egyik leggyakoribb és legmakacsabbul kitartó jelszónak tekinthető. Évről évre minden ország listájának elején tűnik fel. Magyarországon a kilencedik leggyakrabban alkalmazott jelszó; a britek és ausztrálok esetében pedig a legnépszerűbb választás.
- Meglehetősen gyakori jelszó a „qwerty123”, „qwerty1”, „asd123”, „asdfgh” és „asdasd” billentyűkombináció, ami rámutat, hogy a könnyen kitalálható betű/szám kombinációk továbbra is népszerűek. Érdekesség, hogy mivel a magyar billentyűkiosztásban a „z” található az „y” helyén, ezért itt a „qwertz” is felbukkan.
A NordPass vizsgálata szerint a világ legnépszerűbb jelszavainak 78 százaléka kevesebb mint egy másodperc alatt feltörhető. Az elmúlt év hasonló adatával (70 százalék) összevetve látható, hogy e téren romlott a helyzet.
A céges jelszavak éppolyan gyengék
A vizsgálatot végzők mélyebbre ástak az NordPass éves „Top 200 jelszó” kutatásának idei kiadásában, ugyanis a fentieken túl arra is választ kerestek, hogy mennyiben térnek el a személyes és munkahelyi célra használt jelszavak. Az eredmény meglepő – az egyéni felhasználók és cégalkalmazottak által választott leggyakoribb jelszavak 40 százaléka megegyezik.
A szakemberek mindazonáltal felfigyeltek néhány érdekes eltérésre is. Céges fiókoknál gyakrabban használják az olyan alapértelmezett jelszavakat, mint a „newmember”, „admin”, „newuser”, „welcome” és hasonlók. Olyan jelszavak is gyakran kiszivárognak, amelyeket feltehetően az új felhasználók kapnak, és amelyeket azután elmulasztanak módosítani – ilyen például a „temppass” (a 12. leggyakoribb céges jelszó Magyarországon) vagy a „newpass”.
„Ugyanaz maradok, akár öltönyben és nyakkendőben vagyok a munkahelyemen, akár a közösségi médiát böngészem pizsamában. Ezért bármilyen közegben is tartózkodom, jelszóválasztásomat ugyanazok a kritériumok befolyásolják – általában a kényelem, személyes tapasztalatok vagy a kulturális környezet. Ha egy vállalkozás figyelmen kívül hagyja e szempontokat, és a jelszavak kezelését az alkalmazottakra hagyja, azzal a cég és az ügyfelek online biztonságát egyaránt kockára teszi” – mondta Karolis Arbaciauskas, a NordPass üzleti termékigazgatója.
Rejtett kockázatok
Az előzőleg lefolytatott NordPass-kutatás szerint egy adott internetezőnek átlagosan 168 jelszava van személyes célokra, és 87 jelszava munkával kapcsolatosan. Mivel ez a mennyiség többségünk számára kezelhetetlen, a szakemberek szerint természetes, hogy a felhasználók hajlamosak gyenge jelszavakat választani, és azokat több helyen is alkalmazni.
Azonban a céges alkalmazottak által választott gyenge jelszavak a hackerek malmára hajtják a vizet, mivel „brute-force”, szótáras vagy egyéb nagy volumenű támadással könnyen hozzáférhetnek a cég belső IT-rendszereihez. Gyakran előfordul az is, hogy a hackerek valamelyik alkalmazott kiszivárgott személyes azonosítóival törnek be a céges rendszerbe, mivel az alkalmazott ugyanazt a jelszót használta személyes és munkahelyi fiókjaihoz.
Ez a céges és személyes jelszavak kezelésének megfelelő módja
Annak érdekében, hogy ne essünk a felelőtlen jelszókezelés miatt kibertámadás áldozatául, Arbaciauskas néhány egyszerű, de hatásos kiberbiztonsági gyakorlat alkalmazását javasolja.
- Használjon erős jelszavakat! A jelszó legyen legalább 20 karakter hosszúságú, mivel a legfrissebb tanulmányok szerint a hosszabb jelszó csodákra képes. A biztonságos jelszó számok, betűk és különleges karakterek véletlenszerű kombinációjából áll. Ugyancsak jó megoldás egy kifejezés jelszóként való használata. Ez felfogható véletlenszerű szavakból álló hosszú karaktersorként – de ne olyan kifejezés legyen, amit mindenki ismer.
- Soha ne használja több helyen ugyanazt a jelszót! Ökölszabályként elmondható, hogy minden fióknak legyen egyedi jelszava, mert ha egy fiók adatait ellopják, akkor a hackerek ugyanezekkel a belépési adatokkal más fiókokhoz is hozzáférnek.
- Ahol csak lehet, váltson azonosítókulcsra (passkey)! Az azonosítókulcsot tekintik a legígéretesebb alternatívának a jelszavak végleges felváltására. A modern online szolgáltatók többsége (mint a Google, Microsoft vagy Apple) támogatja az azonosítókulcsok használatát ügyfeleik fiókjainál.
- Készítsen szervezeti jelszószabályzatot! A jelszókezelők lehetővé teszik a cégek számára, hogy gondoskodjanak a belépési azonosítók biztonságáról és eredményesen kezeljék azokat, továbbá a jelszavakra vonatkozó szervezeten belüli szabályokat állítsanak fel. A többtényezős hitelesítés (MFA) követelményeit is ajánlott figyelembe venni jelszószabályzat bevezetésekor.