Az interneten a legnépszerűbb szín a kék – legalábbis ha a jelszavakról van szó. Ennek miértjére a választ a legnépszerűbb portálok adják meg, melyeknek alapszíne többnyire kék, elég csak a Facebookra, a Twitterre vagy a Google-ra gondolni. Ez a regisztrációnál – mikor egy elméletileg szupertitkos kódot készülünk megadni – enyhe hatással van a jelszóválasztásunkra.
Ez csak egy a számtalan furcsa tényező közül, melyek meghatározzák az emberek jelszóválasztását. Például egyes tanulmányok szerint a vörös hajú nők találják ki a legjobb belépőkódokat, a legrosszabbakat pedig a bozontos szakállú vagy fésületlen férfiak. A vizsgálatokból az is kiderült, a nők a hosszúságot, a férfiak pedig sokszínűséget preferálják.
Ezek a megállapítások nagy mennyiségű ellopott jelszónak köszönhetően állnak a nyilvánosság rendelkezésére – magyarázta Per Thorsheim biztonságkutató a BBC-nek. Az eltulajdonított adatok egyebek között az Adobe, a LinkedIn és a RockYou nevű oldalakról származtak. Áttekintve őket egyértelműen ki lehet jelenteni: az emberek többnyire hanyagul választanak belépőkódokat.
Jó jelszónak egyébként olyan kifejezést vagy karakterkombinációt lehet tekinteni, amely kevéssé vagy egyáltalán nem kötődik a használó személyéhez. Thorsheim szerint az emberek ennek ellenére igen gyakran olyan szavak és számok mellett teszik le a voksukat, melyek valamilyen módon kapcsolhatók hozzájuk. Így például születésnapok, a házasságkötés dátuma, rokonok, gyerekek vagy háziállatok neve. Gyakori még a házszám vagy utcanév használata, egyesek pedig a kedvenc popsztárjukat választják.
Ezek akkor a leglátványosabbak, amikor négy számjegyű pin kódot kell megadni. A választott számkombinációk vizsgálatából az derült ki, hogy az emberek a 10 000 elérhető lehetőség igen kis hányadát használják. Ennek a magatartásnak a felismerése jelentősen megváltoztatta mind a jó-, mind a rosszfiúk hozzáállását ahhoz, hogyan is érdemes feltörni a jelszavakat.
Az úgynevezett „brute forcing” manapság már az utolsó taktika, amelyet használnánk jelszavak feltörésére – magyarázta Thorsheim. A „brute forcing” számítógépes erővel próbálja feltörni a kódot, ezt úgy kell elképzelni, hogy a-tól z-ig, 0-tól 9-ig végigpróbálja az összes lehetséges betű-szám kombinációt. Ezzel a módszerrel azonban iszonyatosan hosszú idő feltörni a jelszavakat, vagyis ebből a szempontból a matematika legyőzte a kódfeltörőket.
Ugyanakkor a kódfejtés nem csupán a matematikáról szól – hívta fel a figyelmet Yiannis Chrysanthou, a KPMG szakértője –, hiszen a jelszavakat emberek választják ki. Egyre több biztonsági szakember törekszik arra, hogy fejlessze kódfejtő képességeit annak érdekében, hogy megfelelő tanácsokat tudjanak adni a cégek alkalmazottainak, milyen jelszavakat használjanak. Ennek érdekében vizsgálják a lopott jelszavak listáját is.
A hekkerek gyakran veszik célba a közösségi oldalakat, hogy megtudjanak bizonyos adatokat az áldozatról: születési év, gyerekek, háziállatok, szülők neve és a többi. A rosszfiúk a lustaságra is apellálnak – állítja Bruce Marshall biztonsági szakértő. Vagyis nagyon jó, 70 százalék körüli esélye van annak, hogy az a jelszó, amelyet valaki például a postafiókjához használ, egyéb helyen is beveti. Sok kibertolvaj először kisebb weboldalakat vesz célba, hogy hozzájusson a szükséges jelszavakhoz, majd miután megszerezte őket, kipróbálja más helyeken is.
Mindent összegezve, ha hatékony, erős jelszót szeretne választani, ne használjon egyszerű szó- és számkombinációkat; olyan kódot válasszon, amelyet nem tudnak önhöz kötni, illetve bizonyosodjon meg arról is, hogy a bankoláshoz használt jelszavát sehol máshol nem alkalmazza.
