Výzkum: Používání jediného hesla pro více webů je hazard

12. 2. 2011

Sdílet

Britský výzkumník analyzoval data z dvou stránek hacknutých skupinou Anonymous, a zjistil, že mnoho uživatelů používá stejné přihlašovací údaje.

Používání stejného hesla pro různé webové služby je vůbec tím nejlepším, co pro útočníka můžete udělat. Tím spíše, že velké množství stránek místo klasického uživatelského jména používá e-mailovou adresu. Hacker tak dostane vše jak na stříbrném podnose. Na rizika spojená s takovým chováním upozorňuje ve své nejnovější zprávě i Joseph Bonneau z Univerzity v Cambridgi, který analyzoval data uniklá ze stránek gawker.com a rootkit.com.

Bonneau získal 456 reálných e-mailových adres používaných pro přístup k oběma napadeným stránkám. Všechna hesla sice byla hashovaná, což výrazně stěžuje jejich dekódování, Bonneau ale využil techniky zvané rainbow tables a odhalil tak 54 procent hesel z webu gawker.com a 44 procent z rootkit.com. Díky tomu zjistil, že téměř polovina uživatelů používá pro obě služby naprosto stejné přístupové heslo. V šesti procentech případů se pak heslo lišilo přidáním jediného znaku, tedy například „heslo“ a „heslo1“.

Výsledky se výrazně liší od předchozích studií, které míru používání stejného hesla odhadují na 12 až 20 procent. Provádění takových průzkumů je nicméně velmi obtížné, protože zdrojová data se hledají jen velmi těžko. Málokterá organizace by totiž chtěla ztratit důvěru svých uživatelů poskytnutím jejich přístupových údajů. Výzkumníci proto nejčastěji využívají dat z hacknutých stránek.

Řešení celého problému je přitom velmi jednoduché - používat nejen různá uživatelská jména, ale i různá hesla pro každou webovou službu. Nemusí jí nutně o hesla kombinující velké množství znaků, jak doporučují některé návody. Takovou kombinaci si zapamatujete jen těžko. Velmi efektivní jsou třeba hesla skládající se z více slov. Další tipy pro bezpečné používání internetu se můžete dočíst například v článku Tipy pro bezpečné PC od McAfee.