RockYou měla hesla registrovaných uživatelů uložena jako prostý text. Poté do jejího systému pronikl útočník, se dat zmocnil a umístil je na Internetu, v důsledku čehož je bylo možné dále zkoumat.
Analýza ukázala, že většina uživatelů, pokud je volba na nich, stále není ochotna používat silná hesla. Okolo 30 % hesel mělo 6 znaků nebo méně, 60 % bylo vytvořeno jen z velmi omezené sekvence písmen a číslic, 50 % hesel pak představovala běžná jména, slova, nebo řetězce znaků, které se na klávesnici nacházejí vedle sebe. Podle frekvence konkrétních hesel bylo pořadí první pětice následující: 123456, 12345, 123456789, password a iloveyou.
Velké množství z 5 000 nejčastěji zastoupených hesel odpovídalo nějakému heslu ve „slovníku“, který se používá při útoku hrubou silou. Samozřejmě, že sociální síť není bankovní účet, nicméně i tak vzniká otázka, zda by provozovatel aplikace neměl lidem hesla přidělovat sám (ovšem s rizikem vzrůstu problémů při zapomenutí hesla), nutit je hesla pravidelně měnit apod. Nadto je známo, že lidé mají tendenci používat stejná hesla pro přístup k více účtům – takže řada z nich mohla mít stejné heslo pro RockYou jako pro eBay nebo Paypal.
K omezení útoků hrubou silou (např. pomocí botnetů) je také vhodné, aby heslo nebylo jediným prvkem autentizace, ale ověření doplnit o nějaký test typu CAPTCHA apod.
PŘEDPLATNÉ
ČLÁNKY DO MAILU