Troy Hunt, softverski inženjer i dobitnik Microsoftove MVP nagrade (Most Valuable Professional) analizirao je nedavni napad hakera na Sony i napisao analizu lozinki koje se koriste.

Rezultati su bili alarmantni; lozinke su bile relativno kratke (obično 6 do 10 znakova), jednostavne (manje od 1 posto lozinki nije imalo alfanumerički znak) i predvidljive (više od trećine njih može se pronaći u uobičajenim rječnicima). Ono što još više brine je - jedinstvenost. Naime, 92 posto računa u informacijskim sustavima Sonyja koriste iste lozinke, pa čak kad se gleda i na druge sustave, primjerice Gawkera koji je nedavno također pretrpio ozbiljan hakerski napad.

Ono što je u svom novom postu na blogu Hunt pokušao opisati jest "kako ljudi biraju svoje lozinke". Poznato je da se većina ljudi nemarno odnosi prema svojim lozinkama, međutim Hunta je zanimalo na osnovu čega ljudi biraju svoje lozinke. Koja im osobna značenja pridaju prilikom odabira?

Hunt je pronašao neke vrlo prepoznatljive obrasce u podacima koje je prikupio. Ti podaci dolaze iz različitih izvora uključujući Sony i Gawker i ostale slučajeve hakerskih napada na internetu. Za mnoge od njih nije imao nikakvih drugih podataka osim e-mail adrese i lozinke (primjerice, fizičke adrese). Na osnovu 300.000 računa napravio je selekciju i izdvojio neke zaključke.

Osobna imena

Oko 14 posto korisnika kreira svoju lozinku iz osobnog imena. Top tri imena koja služe kao lozinke su: 1. maggie, 2. michael i 3. jennifer. Osim imena, postoje još tri derivacije koje se učestalo pojavljuju u lozinkama. To su 1. dodavanje brojeva, dodavanje simbola (po mogućnosti zajedno s brojevima) i 3. obrtanje imena (sa ili bez brojeva i simbola).

Imena mjesta

Oko 8 posto korisnika kreira svoju lozinku na osnovu imena mjesta, primjerice grada, države, regije... Najpopularnija imena mjesta su 1. dallas, 2. canada i 3. boston. Kao i kod osobnih imena, dobio je prilično konzistentne rezultate kad je riječ o derivacijama. Sufiks "1" se pri tome pokazao kao najpopularniji.

Riječi iz rječnika

Riječi iz rječnika su najpopularniji izvor za inspiraciju za kreiranje lozinke. Velikih 25 posto lozinki je derivirano direktno iz rječnika. Najpopularnije lozinke iz rječnika su 1. password (stvarno?!) 2. monkey i 3. dragon.

Brojevi

Brojeve i samo brojeve u lozinkama koristi oko 14 posto korisnika. Pogađate koje su kombinacije brojeva najpopularnije: 1. 123456, 2. 12345678 i 3. 123456789.

Dvostruke riječi

Dvostruke riječi, odnosno uzastopne riječi koje se ponavljaju u lozinkama, primjerice - "troytroy". Takvih lozinki je manje od 3 posto, a evo koje su najčešće: 1. blahblah, 2. poopoo i 3. lovelove

Lozinke koje su dijelovi e-mail adresa

Mnogi ljudi kako ne bi zaboravili svoju lozinku, koriste dio svoje e-mail adrese kako bi ih podsjetila na odabranu lozinku. I ovdje je manje od 3 posto lozinki, međutim ljudi ovo zaista rade. Takve najčešće tri lozinke su 1. email: murphy666@… lozinka: murphy666, 2. email: baolihua@… lozinka: baolihua i 3. e-mail: racecar73@… lozinka: racecar73

Kratke fraze

Kratke fraze bilo je najteže kvantificirati, međutim ljudi ih itekako koriste u odabiru lozinki. Tri najpopularnije kratke fraze su 1. trustno1, 2. letmein i 3. iloveyou.

Obrazac tipkovnice

Obrazac tipkovnice dugo je od nekih sigurnosnih "stručnjaka" smatran kao najpouzdaniji način za odabir lozinke. Takvu lozinku je lako pamtiti, a najpopularnije lozinke koje su tako generirane su: 1. qwerty, 2. asdfgh i 3. asdf1234.

Veza sa webstranicom

Premda je riječ o malenom postotku, neki ljudi vole odabrati lozinku na osnovu imena web stranice. Primjerice za stranicu Gawker, lozinka je Gawker, za stranicu Sony Pictures, lozinka je sony123.

Ostalo

Dio lozinki koje je Hunt obradio nije se mogao uklopiti u nijedan obrazac. Takvi primjeri su gundam (ime animirane serije) ili ncc1701 (kodno ime za USS Enterprise u Zvjezdanim stazama)

Na kraju svog posta Hunt je naveo tri zaključka koja proizlaze iz njegova istraživanja:

1. Lozinke su inspirirane riječima koje za nas imaju osobni značaj ili nekim drugim obrascem kojeg se možemo sjetiti.

2. Pokušaji da se lozinke pojačaju obično slijede predvidive obrasce.

3. U potpunosti slučajne lozinke su jako rijetke, na njih otpada samo 1 posto istraženih podataka.

Ovaj skraćeni prikaz Huntova posta ima istu namjeru kao i orginal - upozoriti ljude da pažljivo biraju svoje lozinke. Sljedeće pitanje koje bi Hunt mogao postaviti bilo bi "kako bi ljudi trebali birati svoje lozinke". Odgovor na ovo pitanje je jednostavan: "Jedina sigurna lozinka je ona koje se ne možemo sjetiti".

Cijeli članak autora Troy Hunta pod nazivom "Znanost odabiranja lozinki" zajedno s grafičkim prikazima podataka možete pronaći ovdje.