Hlavní navigace

Vědci používají stejně hloupá hesla jako obyčejní lidé

Daniel Dočekal

Přes sto tisíc hesel uniklo z IEEE.org, v plaintextu, kompletní kombinace přihlašovacího jména a hesla. Vše volně dostupné na FTP po dobu minimálně jednoho měsíce – hesla uživatelů z řady firem a nebývale velkého množství vědců a vědátorů (viz ieeelog.com/). Mimo těchto informace se na FTP ještě daly získat záznamy o tom, co uživatelé na IEEE.org dělali v podobě veřejně přístupných serverových logů.

Přes sto tisíc hesel uniklo z IEEE.org, v plaintextu, kompletní kombinace přihlašovacího jména a hesla. Vše volně dostupné na FTP po dobu minimálně jednoho měsíce – hesla uživatelů z řady firem a nebývale velkého množství vědců a vědátorů (viz ieeelog.com/). Mimo těchto informace se na FTP ještě daly získat záznamy o tom, co uživatelé na IEEE.org dělali v podobě veřejně přístupných serverových logů.

S trochou nadsázky můžeme díky tomuto úniku hesel konstatovat, že vědci nakonec používají stejně hloupá hesla, jako obyčejní lidé. Byť při pohledu na žebříček nejpoužívanějších hesel lze možná zauvažovat nad tím, že jejich hesla jsou přeci jenom mírně složitější. Třeba v tom, že jsou (na počátku žebříčku) mírně delší, než běžně nejvíce používané varianty mezi lidmi nevědeckého typu. Ale jinak stále platí, že jedno z nejpoužívanějších hesel je … „heslo“.123456

  1. ieee2012
  2. 12345678
  3. 123456789
  4. password
  5. library
  6. 1234567890
  7. 123
  8. 12345
  9. 1234
  10. ADMIN123
  11. IEEE2012
  12. student
  13. ieee2011
  14. SUNIV358
  15. Password
  16. abcd1234
  17. admin
Našli jste v článku chybu?
26. 9. 2012 15:14

Ze pouzivaji pro kazdou sluzbu jine heslo je tady krasne videt. Myslite, ze nekdo se prihlasuje do sveho pocitace heslem IEEE2012? To je proste evidetne heslo na web, ktery prudil zbytecnou registraci a tak tam uzivatel neco zadal a hned klidne zapomel.

4. 10. 2012 15:03
král já první (neregistrovaný)

No já tomu možná nerozumím, ale blahé paměti jsme se učili, že ukládat hesla uživatelů kamkoliv je prasárna a v plaintextu dokonce kardinální. Profesionální web nemá mít uložená skutečná hesla, ale jenom jejich hashe. A při přihlašování se pak ze zadaného hesla stejnou metodikou vypočítá hash a porovná se s hashem uloženým, jestli se shoduje. Z ukradené databáze jsou hesla zpětně nezjistitelná.

Je to už hezkých pár let, ale dodnes jsem v té iluzi žil...?