Eksperci sprawdzili nasze hasła, które wpisujemy do komputera. Wnioski są porażające. Analiza naruszeń danych pokazuje, że do najczęściej łamanych należą "123456", "qwerty" i "password" ("hasło"). Sześć z dziesięciu najczęściej wyciekających haseł to hasła numeryczne, czyli nie zawierające liter.

Eksperci stwiedzili, że najczęstszą długością są hasła sześciocyfrowe. Ustalenia badaczy są zaskakujące. Okazuje się, że miliony ludzi używają haseł zbyt prostych, zbyt krótkich i przez to niezwykle podatnych na złamanie.

Eksperci ds. baz danych Red9 przeanalizowali, ile razy powszechnie używane hasła pojawiały się w ramach publicznie opublikowanych naruszeń bezpieczeństwa danych, uruchamiając każde z nich za pośrednictwem serwisu HaveIBeenPwned.com.

Stwierdzono, że najczęstszym hasłem w przypadku naruszeń jest "123456", które wyświetlono oszałamiającą liczbę 42 542 807 razy. Ponieważ wszystkie przeanalizowane hasła pojawiły się łącznie 196 540 378 razy w przypadku naruszeń, hasło "123456" stanowiło ponad jedno na pięć (21,65 proc.) wszystkich wystąpień.

Według ocen ekspertów to proste hasło numeryczne można złamać niemal natychmiast – co jest niezwykle niepokojące dla milionów użytkowników, którzy nadal go używają.

Na drugim miejscu znajduje się "123456789", które w przypadku naruszeń danych pojawiło się 18 313 580 razy. Według kalkulatorów mocy haseł, można je złamać bardzo prosto. A warto pamiętać, że bardzo często jest ono używane jako hasło domyślne do urządzeń bądź serwisów i należy je od razu zmienić.

Na trzecim miejscu znajduje się pierwsze hasło alfabetyczne na liście. "qwerty" wykorzystuje pięć pierwszych liter na standardowej klawiaturze komputera. Trzeci wpis na liście pojawił się 10 713 794 razy w wyszukiwarce naruszeń. Eksperci dodają, że złamanie go również jest dziecinnie proste.

Na czwartym miejscu znajduje się proste hasło alfabetyczne "password" ("hasło"), które zostało ujawnione 10 713 794 razy.

Na piątym miejscu znajduje się "12345678" (6 901 438 naruszeń bezpieczeństwa danych". W pierwszej dziesiątce nadal znajdują się takie hasła jak "111111" (miejsce 6., ujawnione 5 070 941 razy), a oraz "qwerty123" (miejsce 7., pojawiło się 4 880 569 razy).

Na ósmym miejscu znajduje się "1q2w3e" (4 486 025 naruszeń). Chociaż może się to wydawać przypadkową kombinacją cyfr i liter, jest to po prostu sześć pierwszych sąsiadujących ze sobą klawiszy na klawiaturze komputera w naprzemiennym formacie.

Dziewiąte miejsce na liście zajmuje numer "1234567" (4 351 342 razy), listę kończy równie odkrywcze "1234567890" (4 130 502 naruszeń).

Co ciekawe, najczęstsze były hasła sześcioznakowe, które stanowiły 91 644 362 wszystkich haseł wyszukiwanych w ramach naruszeń. Drugą najczęstszą długością hasła było osiem znaków (35 083 201 naruszeń).

Oto 10 najczęściej łamanych haseł

– Niektóre powszechnie używane hasła w dalszym ciągu stwarzają poważne luki w zabezpieczeniach. W świetle tych ustaleń zdecydowanie zachęca się użytkowników do przyjęcia bardziej niezawodnych praktyk dotyczących haseł w celu zwiększenia ich bezpieczeństwa cyfrowego – tak Mark Varnas, założyciel Red9, skomentował ustalenia badaczy.

– Stosowanie kombinacji wielkich i małych liter, cyfr i znaków specjalnych oraz unikanie łatwych do odgadnięcia informacji, takich jak imiona i daty urodzin, może znacznie zwiększyć odporność haseł na nieautoryzowany dostęp – radzi.

– Regularne aktualizowanie haseł i powstrzymywanie się od używania identycznych haseł na wielu kontach jeszcze bardziej wzmacnia Twoją obronę przed potencjalnymi zagrożeniami bezpieczeństwa – dodaje. Nawiasem mówiąc, tak najprawodopodobniej stało się w przypadku najsłynniejszego w Polsce włamania na skrzynkę pocztową polityka.

Uważać trzeba też na dane

W cyfrowym społeczeństwie dane osobowe stały się walutą. Użytkownicy dzielą się nimi dobrowolnie, m.in. w celu korzystania z oferowanych przez sieć takich usług jak media społecznościowe. Zdarza się jednak, że informacje te zostają upublicznione bez zgody i wiedzy ich właścicieli.

Potencjalnych przyczyn takiej sytuacji jest wiele – może być ona wynikiem ataku, wycieku danych lub też przejawem innego cyberzagrożenia, jakim jest doxing. Polega on na poszukiwaniu, gromadzeniu, a następnie ujawnianiu prywatnych danych, takich jak adresy zamieszkania czy numery telefonu. 

Doxing to forma indywidualnie ukierunkowanej cyberprzemocy, spopularyzowana w latach 90. Wówczas była to domena hakerów, którzy używali tej taktyki przeciwko sobie, aby eliminować się nawzajem jako konkurencję. Obecnie jest ona elementem konfliktów w cyberprzestrzeni, a jej ofiarą paść może każdy użytkownik. Działania doxera mogą być motywowane np. dezaprobatą dla treści publikowanych przez ofiarę lub bezpośrednim sporem.

Czego szuka doxer?

Do informacji interesujących doxerów należą m.in. numery telefonów. Są one wykorzystywane do bezpośredniego kontaktu z ofiarą w celu wyłudzenia dodatkowych informacji lub uzyskania dostępu do jej zabezpieczonych kont. Cenne dla atakujących są także numery PESEL, których znajomość jest wymagana do weryfikacji tożsamości w wielu firmach i instytucjach.

Za ich pomocą doxerzy mogą podszyć się pod swoje ofiary i uzyskać dostęp do ich danych. Celem są również adresy zamieszkania, które są wykorzystywane m.in. w procesie weryfikacji podczas prób logowania do kont ofiar. 

Uwagę doxera przyciągnąć może też karta kredytowa. Jeżeli atakujący uzyska dostęp do jej szczegółów, może zaszkodzić zdolności kredytowej ofiary. Dane te pozwolą mu również na dotarcie do innych poufnych informacji na temat właściciela karty. Wśród celów wymienić należy również dane konta bankowego.

Po ich przechwyceniu, jeśli rachunek nie jest zabezpieczony uwierzytelnianiem dwuskładnikowym, doxer zyskuje możliwość dokonywania przelewów w imieniu ofiary. Może on również udostępnić te dane szerszemu gronu obiorców. 

Skąd doxerzy czerpią informacje?

Doxerzy mają do dyspozycji wiele źródeł i metod umożliwiających im pozyskiwanie danych ofiar. Należą do nich m.in.:

• Monitorowanie powtarzających się nazw użytkowników – Jedną z podstawowych zasad cyberhigieny jest korzystanie z różnych haseł do różnych serwisów internetowych, aby wyciek danych z jednego z nich nie ułatwił dostępu do innych. Warto jednak zauważyć, że również posiadanie tej samej nazwy użytkownika dla więcej niż jednego konta może stać się źródłem kłopotów. Powtarzalne, publiczne dane profili internetowych pozwalają na stosunkowo łatwą identyfikację ich wspólnego właściciela. W sytuacji, gdy doxerowi uda się to zrobić, zyskuje on nie jedno, lecz kilka potencjalnych źródeł informacji na temat swojej ofiary, co może uczynić jego atak szczególnie niebezpiecznym. 
• Korzystanie z wyszukiwarki WHOIS – Jest to narzędzie służące do identyfikacji właścicieli domen internetowych. Za jego pomocą możliwe jest dotarcie do takich informacji, jak imiona, nazwiska, numery telefonu oraz adresy. Narzędzie to jest proste w obsłudze, wystarczy wyszukać nazwę danej domeny, aby dostępne na temat jej właściciela dane zostały wyświetlone. Możliwe jest jednak ukrycie tych informacji podczas rejestracji domeny, co zalecają także eksperci Fortinet. 
• Phishing – Ofiary ataków phishingowych nierzadko same udostępniają wrażliwe dane przestępcom, m.in. na fałszywych stronach internetowych, do odwiedzenia których zostają zmanipulowane. W innych przypadkach do wykradzenia informacji wykorzystywane jest złośliwe oprogramowanie. Doxerzy również używają tej metody. Szczególnie istotne jest dla nich uzyskanie dostępu do skrzynki poczty elektronicznej ofiary, gdyż tam często mogą znaleźć poufne wiadomości. 
• Stalking w mediach społecznościowych – Publiczne profile w portalach społecznościowych mogą być doskonałym źródłem wiedzy na temat ich właścicieli. Nierzadko zawierają informacje o miejscu pracy, członkach rodziny, znajomych bądź często odwiedzanych miejscach. Eksperci Fortinet apelują o rozsądek w kwestii publikowanych treści. Kontrolowanie swojego cyfrowego śladu jest kluczowe dla zachowania bezpieczeństwa. 
• Przeszukiwanie publicznych rejestrów – Podczas poszukiwania informacji o swoich ofiarach, doxerzy mogą przeglądać również urzędowe dokumenty dostępne m.in. w takich rejestrach, jak Centralny Rejestr Wyborców, Rejestr Podatników lub Rejestr Dowodów Osobistych.

Jak się chronić? 

Nie ma jednej strategii, która umożliwiałaby stuprocentową ochronę przed doxingiem, ponieważ dane osobowe większości użytkowników są dostępne w sieci. Eksperci Fortinet wskazują jednak na kilka podstawowych środków, które umożliwiają ochronę najbardziej wrażliwych informacji.

Jednym z nich jest korzystanie z usługi VPN – wirtualnej sieci prywatnej. Przesyłane za jej pośrednictwem dane są szyfrowane, co uniemożliwia ich przejęcie przez osoby niepowołane. Kolejnym środkiem bezpieczeństwa jest regularna weryfikacja ustawień prywatności w profilach społecznościowych. Dzięki temu użytkownicy mogą mieć większą kontrolę nad tym, jakie informacje na ich temat są dostępne dla innych. 

Eksperci Fortinet zachęcają także do posiadania kilku skrzynek poczty elektronicznej, z których każda powinna pełnić jedną, określoną funkcję (np. służbowa, prywatna oraz "spamowa" – przeznaczona na wiadomości z subskrypcji newsletterów itp.). Warto również nie logować się do stron i aplikacji przez profile społecznościowe. Jeśli portal lub aplikacja nie posiada odpowiednich zabezpieczeń, przestępca może przeniknąć do jej systemu i w ten sposób uzyskać wszystkie dostępne informacje o użytkowniku. 

W polskim prawie brakuje zapisów dotyczących samego doxingu. Nie oznacza to jednak, że stosujących go osób nie można pociągnąć do odpowiedzialności. Dopuszczający się ataku doxer popełnia m.in. przestępstwo przeciwko wolności (art. 190a. kodeksu karnego) oraz naruszenia dóbr osobistych człowieka (art. 23. kodeksu cywilnego). W związku z tym eksperci Fortinet zalecają zgłaszanie każdego tego typu incydentu organom ścigania.