Hackeri používajú rovnako slabé heslá ako bežná populácia. Na základe svojej analýzy to tvrdí česká antivírusová spoločnosť Avast.
Analýza skúmala silu hesiel, ktoré hackeri používajú na zabezpečenie svojich prístupov na infikované počítače prípadne riadiace počítače v zadných vrátkach, botoch a shelloch, prípadne na ich zašifrovanie.
Ide tak o heslá odlišnej povahy ako sú heslá na zabezpečenie užívateľských účtoch, ktoré môžu mať v niektorých prípadoch výrazne vyššiu dôležitosť a v ďalších naopak. Aká časť hesiel plnila aký účel a s akou dôležitosťou Avast neuvádza.
Celkovo spoločnosť analyzovala 1601 hesiel a dalších 300 hesiel, pre ktoré pôvodne poznala len ich kontrolné hash sumy. Heslá získala v uplynulých rokoch zo zachyteného škodlivého kódu a jeho analýzy.
Približne 10% z týchto hesiel bolo dostatočne silných a za hranicou uhádnutia alebo cracknutia.
Až 58% hesiel sa skladalo len z malých písmen anglickej abecedy, ďalších 20% z malých písmen a číslic, 9% čisto z číslic. Veľké písmená hackeri používali len málokedy a väčšinou len ako prvé písmeno hesla, spolu sa veľké písmeno nachádzalo v 7% hesiel. Iné špeciálne znaky vrátane medzery sa nachádzali len v 6% hesiel, najčastejšími boli bodka, podčiarknik a medzera.
Početnosť hesiel s jednotlivými dĺžkami (graf: Avast)
Heslá boli aj pomerne krátke, keď priemerná dĺžka dosahovala 6. Dlhších ako 12 znakov bolo len 52 hesiel.
9% hesiel je priamo anglickými slovami, ďalšie sú spojením viacerých anglických slov prípadne s leet hláskovaním. Najčastejším slovom v heslách bolo slovo hack.
Výsledky analýzy ponúkajú aj pomerne efektívny návod ako hľadať heslá. Ak zlyhá slovníkový útok je podľa týchto výsledkov pomerne vysoká šanca nájsť heslo hrubou silou s testovaním hesiel zložených z maximálne šiestich až ôsmich malých písmen prípadne číslic.
Avast navyše na základe početnosti výskytov jednotlivých písmen vytvoril dve optimalizované výberové sady znakov spomedzi malých písmen, čísliv a špeciálnych znakov pre útok hrubou silou, jednu s 28 znakmi a jednu so 41 znakmi. Menšia sada obsahuje acdehiklmnorstu01234579!-.@_, väčšia acdehiklmnorstubgpxyw0123456789!-.@_#$+* a medzeru.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
Heslá
Od: lozkoOdKompu
|
Pridané:
10.6.2014 16:12
No super štatistika, ak je heslo dostatočne dlhé a nie je zo slovníka - nezistili ho tak v ktorej kategórii ostalo?
|
| |
Re: Heslá
Od: lozkoOdKompu
|
Pridané:
10.6.2014 16:13
beriem späť neviem čítať :D
|
| |
Re: Heslá
Od reg.: dukatik
|
Pridané:
10.6.2014 16:13
toto je statistika kraknutych chesiel
|
| |
.....
Od: gfx
|
Pridané:
10.6.2014 16:16
hlavny odbornik z azetu mal heslo tiez slabe, ale aspon uprimne
|
| |
Re: .....
Od: margaret
|
Pridané:
10.6.2014 17:52
to ale cez wordlist nezistil(podla mna).. musel ist bruteforcom a na hentaku dlzku sa dostat.. musel mat dobre stroje
|
| |
Re: .....
Od: iExploder
|
Pridané:
10.6.2014 21:23
stacil social engineering a poznat cloveka, odhad prisiel nasledne :D
|
| |
Re: .....
Od: zloba
|
Pridané:
11.6.2014 7:18
ake ?
|
| |
Bezna vec
Od reg.: energija
|
Pridané:
10.6.2014 16:30
Nic nove. Ake hesla maju rozne typy uzivatelov:
- bezny uzivatel: nepoviem
- skuseny uzivatel: heslo123
- wannabe hacker: h3s101ee7
- administrator: w9RX5q21$l33wZ
- hacker: heslo123, lebo vie, ze aj tak je to jedno :-)
|
| |
Re: Bezna vec
Od reg.: dukatik
|
Pridané:
10.6.2014 17:35
Narodny Bezpecnostny Urad: nbu123
|
| |
Re: Bezna vec
Od reg.: Born To Be Wild
|
Pridané:
10.6.2014 17:39
nbusr123
|
| |
Re: Bezna vec
Od reg.: dukatik
|
Pridané:
10.6.2014 17:46
http://dopice.sk/9Fh
|
| |
Re: Bezna vec
Od: margareeta
|
Pridané:
10.6.2014 18:02
prosim ta, jeden raz som videl o tych ludoch ktori mali ptm kvoli tomu problemy video, bolo to myslim natocene vramci ich skoly, odkaz an video som vtedy nasiel na darkcorner.mysteria.cz video bolo nahrate na nejaky sk video portal... nevies kde by som to este nasiel? dik mocc
|
| |
Re: Bezna vec
Od: gašparovič
|
Pridané:
10.6.2014 19:38
http://dopice.sk/9Fm
|
| |
Re: Bezna vec
Od reg.: jupiii
|
Pridané:
10.6.2014 19:57
Odkazujes na nespravne stranky. To, ze to davali v televizii, a nahravali na video neznamena, ze to je doverihodny zdroj. Aspon vidiet, ako dokazu media ovplyvnovat ludi a klamat im do oci.
Tu je cely ten popis, ako sa to stalo:
http://blackhole.sk/node/442
|
| |
Re: Bezna vec
Od: joskooooooo
|
Pridané:
10.6.2014 20:07
ti metialna ofca chot sa past sa tvoimi ofcamy
|
| |
Re: Bezna vec
Od reg.: jupiii
|
Pridané:
10.6.2014 21:41
Chvilu som mal pochybnosti, ale ty si program!
|
| |
Re: Bezna vec
Od: joskopretkosko
|
Pridané:
10.6.2014 21:50
ale nye tagi dobri a taki sexi program ako ti.
|
| |
Re: Bezna vec
Od: RIKK
|
Pridané:
11.6.2014 10:33
je to len jebko s pocitom menejcennosti ktory svoju dyslexiu zakryva joskolatorskym prekladacom.
|
| |
f.u.c.m.e
Od: f.u.c.m.e
|
Pridané:
10.6.2014 16:33
Dobra picovina. Zase nejaka "odborna" statistika a k comu je to vlastne uzitocne? Komu to pomoze takato statistika? Nielen ze je velmi sporne na zaklade vzorky 1901 hesiel vyvodit akekolvek vseobecne zavery co sa tyka sily pouzivanych hesiel, ale zaroven fakt ze ide o hesla hackerov naznacuje celkovu neuzitocnost az absurdnost tejto statistiky. Hackeri nepotrebuju az tak silne heslo k backdoorom ked vedia ze bezny uzivatel sadne za pocitac a ani nevie ze ho ma infikovany ked je to nejaky sofistikovany trojan vyrobeny ako jednorazovka, takych je vo "wild" prostredi kopec a obycajne ked ich antiviraky zacnu detekovat, uz splnili svoj povodny ucel na ktory boli vyrovebe takze neni o com, lebo keby sa aj uzivatelovi hned podarilo identifikovat ze ma v pc backdoor a keby hned vedel ziskat pristup, az potom by prisla na rad otazka "Ake to ma heslo?" a silne pochybujem ze bezny uzivatel by vedel nejak efektivne zacat lamat heslo k zadnym vratkam tak aby vedel ziskat kontrolu nad trojskym konom a zneskodnit ho.
|
| |
Re: f.u.c.m.e
Od: jelito
|
Pridané:
10.6.2014 16:56
pocuj statista.. za relevantnu vzorku sa povazuje cca. 1100 jednotiek skumanej vzorky (vsetko ostatne je len mierna korelacia zakladneho suboru) a statistika ma dost velky vyznam... napr. ked chcem cracknut co najviac hesiel, tak sa zameriam na skupinu v ktorej je najpocetnejsi skumany znak (alebo retazec) a mam istotu ze cracknem viac hesiel ako utokom hrubou silou so vsetkymi moznymi znakmi
ale to len tak, slnko svieti a vela ludom hreje slnko na budku
|
| |
Re: f.u.c.m.e
Od: fesacisko
|
Pridané:
10.6.2014 17:05
ok, idem hackovat hackerov...uz mi len ihly chybaju
|
| |
Re: f.u.c.m.e
Od: f.u.c.m.e
|
Pridané:
10.6.2014 20:52
A ten udaj 1100 vzoriek si odkial vycital? Z prsta vycmulal? Vies kolko presne je na svete hackerov ked si trufas tvrdit ze nato aby sa vsetky hesla hackerov z celeho sveta dali zhrnut a statisticky niekam pochybne kategorizovat staci 1100 vzoriek? Pointa je ze na svete je daleko viac hackerov a este viac hesiel nez 1100 takze skutocne udaje sa jednoducho budu zhodovat so skumanou vzorkou len minimalne, dokonca by som povedal, ze ak by si ziskal hesla vsetkych hackerov sveta, tato mala vzorka 1100 hesiel by sa nakoniec stala tou miernou korelaciou ktorou sa tu tak ohanas a dalej, statistika by mala vyznamny vplyv a prinos k tomu ucelu o ktorom pises iba v pripade ze by nezlyhavala uz v samotnom principe, teda prave v nedostatku skumanych vzoriek, ale ved crackuj si hesielka s obmedzenim na zaklade danej statistiky, budes prekvapeny a potom mozno pojdes do tiena ty aby si sa trochu prebral...
|
| |
Re: f.u.c.m.e
Od: jelito
|
Pridané:
11.6.2014 2:15
cca. 1100 je udaj pochadzajuci zo zakladov statistiky (myslim ze to vedia aj stredoskolaci) nema vyznam reagovat na Tvoj prispevok, si uplne mimo.. hlavne ze posobis ako znalec :) to Ta vystihuje najlepsie samo o sebe ;)
|
| |
Re: f.u.c.m.e
Od: niktos
|
Pridané:
11.6.2014 14:58
zaklad statistiky? podla toho kde ju robis u koho a naco, tu co poznam tak maju take hesla ze musia mat v mobile QR kod na to cislo a nasnimat web kamerov a citackov QR kodov aby sa prihlasili na konkretne miesto, tam je snad vsetko co na klavesnici existuje. A pokial viem tak kody si niektory menia kazdy tyzden, furt neviem kde to beru ci z nejakej dediny kde nejaka cajka ma heslo narodenia dietata alebo meno. dufam ze tam zahrnuli aj penazenky uctov na coinoch. to je uplne odveci nieco take tvrdit, a pocuj ty statysta, ked uzivatelov z heslami kdekolvek bude len posratych 100 mil. tak 1100 je slaba vzorka nemyslis? a to som ubral a riadne, to je ako by som na dedine sa spital na nieco, to ani zdaleka nezahrna nic s uzivatelov pc a internetu, vsak avast comu sa cudovat :)
|
| |
Re: f.u.c.m.e
Od: f.u.c.m.e
|
Pridané:
11.6.2014 15:39
Jemu to nevysvetlis, je to kokot. 1100 si vycmulal z prsta alebo z nejakej poucky v skole a teraz tu ide mudrovat, toto mam tak najradsej, ako sa hovori cim viac skol tym väcsi vol, nemusim byt neviam aky statistik aby som vedel ze vzorka 1100 hesiel je zalostne malo ked hackerov su na svete miliony a este viac hesiel. Hentomu jebkovi este nikto nepovedal ze to nie je len v skole sa nabiflovat nejake jebnute poucky a ze musi aj rozmyslat lebo poucky su jedna vec ale ked dostanes do situacie ine podmienky, ine faktory, ine hodnoty uz musis rozmyslat... Predpokladam ze 1100 vybral ze nejakeho konkretneho prikladu kde celkovy pocet bol jasne dany a zasadne nizsi nez miliony moznych kombinacii hesiel, ale ved nech si dalej hlada ihlu v kope sena, nechaj ho tak pana statistika inziniera pedagoga mudr pudr judr filozofa filologa csc kandidata vied a v neposlednom rade kokota padnuteho na hlavu...
|
| |
Re: f.u.c.m.e
Od: Squeak??!
|
Pridané:
11.6.2014 15:30
Akurát máš zrejme štatistiku dosť dokrivenú tým, že toto sú heslá tých blbších "hackerov". Heslá tých šikovnejších nezistia, lebo nevedia ani o prieniku :-)
|
| |
hackeri
Od: brano2
|
Pridané:
10.6.2014 16:56
to je ako obvinovat zlodeja ze pri odchode zamkol len na jeden krat.. nieje to cele absurdne?
|
| |
Re: hackeri
Od: enx
|
Pridané:
11.6.2014 0:05
http://www.youtube.com/watch?v=02wB3om_Mbo
|
| |
Titulok príspevku musí mať dĺžku aspoň 5 znakov.
Od: ňeandrtalec
|
Pridané:
10.6.2014 17:02
podčiarknik v texte, nikto nic? :)
|
| |
Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov.
Od: :.:.:.:.:
|
Pridané:
10.6.2014 17:41
Aj tak to väčšina volá podjebník.
|
| |
Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov.
Od: SSS
|
Pridané:
10.6.2014 17:55
u nás na strednom Slovensku je to podjebavák...
|
| |
Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov.
Od: vrtak_das_osmicka
|
Pridané:
11.6.2014 7:45
Na vychode podjebovnik.
|
| |
Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov.
Od: Kekeket
|
Pridané:
11.6.2014 8:50
U nás na divokom západe ste vy východniari poriadni_jebovia
|
| |
Načim podučiť?
Od: MoKy
|
Pridané:
11.6.2014 15:25
S ďiovkami sme to vždy veďeľi.
|
| |
vadí im stahovanie
Od: Józsa-báczi
|
Pridané:
10.6.2014 19:57
http://diit.cz/clanek/ news-corp-zada-google -o-protipiratske-algoritmy
tak ked mu to vadí u GoT, nech to nerobia, netočia, a šlus, hotovka, "vec vyžízeno k dennímu požádku",
ked im vadí stahovanie a sledovanie, tak to nebudú nakrúcať, produkovať, a my (teda najma ja, pojdeme na balkon, piť čaj, a sledovať, baby kukať, dole na ulcic :p pozri, aha, mravce, ! tade chodia hore dole, mravce !!!
|
| |
without
Od: ppp p
|
Pridané:
10.6.2014 20:21
az bude svet bez hesiel a domi bez klucikov,vtedy budeme vo vyssom levely....ale tak skoro to nebude o))))))))))))))))
|
| |
Re: without
Od: p ppp
|
Pridané:
10.6.2014 20:28
a pripevky bez gramatickych chyb ;)
|
| |
Re: without
Od: el hadica
|
Pridané:
10.6.2014 20:42
no neviem ci "pripevky" bol v tomto pripade umysel, kazdopadne ma to pobavilo :)
|
| |
Re: without
Od reg.: 100k45h
|
Pridané:
10.6.2014 21:39
no tak pozor, to nebola gramaticka chyba, to bol 'preklep'... takze zase no! nechod nanho tak zhurta
|
| |
ake maju hesla hacker lamer a luzer
Od: kofola
|
Pridané:
10.6.2014 22:50
davno zname, ze hackeri maju lahke hesla :-) je to predsa hned prve pravidlo z charakteristik hackera, lamera a luzera
http://eldar.cz/ kangaroo/zasek_do_zivyho/node17.html
|
| |
Autor je vychodniar? :)
Od: gogo4925
|
Pridané:
11.6.2014 5:17
"heslá na zabezpečenie užívateľských účtoCH"
|
| |
Re: Autor je vychodniar? :)
Od: max12
|
Pridané:
11.6.2014 8:45
Ziaden vychodnar, blavak je to, povodne tam mal autor:
"ako sú heslá na užívateľských účtoch"
Ale potom si povedal: Doplnim tam "zabezpecenie" - som predsa plateny od poctu slov.
|
| |
výborná analýza
Od: super
|
Pridané:
11.6.2014 8:39
skvelá analýza, po nej určite hackeri zmenia prístup k heslám a uvedený návod sa stane bezpredmetným. ;)
|
| |
C a V sú blízko
Od: škřítek
|
Pridané:
11.6.2014 9:08
posledný odsek
...spomedzi malých písmen, čísliV a špeciálnych znakov...
|
| |
Re: C a V sú blízko
Od: Klovatina
|
Pridané:
11.6.2014 10:12
akurat som to isiel aj ja
|
| |
Sila hesla
Od reg.: Twixie
|
Pridané:
11.6.2014 10:06
http://xkcd.com/936/
|
| |
grammar nazy
Od: Józsa-báczi
|
Pridané:
11.6.2014 11:09
..a ottet za kášdu gramáťycku chibu uš bude liyťer €$ dole !!
|
| |
xxxxx
Od: niktos
|
Pridané:
11.6.2014 14:43
zaujimave ze vedia tie hesla ale zas co sa cudovat, hore spominany brute force je ti na milu jarmilu kedze po par razoch musis cakat alebo odpisat obrazok, aby si pokracoval v lamani a password list je kapanek vacsi kedze ma desiatky GB posledny co som stiahol mal 80 GB, skusat len nahodne je mala pravdepodobnost. tvrdit ze hackery maju slabe hesla je hlupost ako hore pisal jeden, staci ti zadat na nejaku stranku email a heslo ako prihlasenie, je dost pravdepodobne ze admin stranky uz vie ze bude rovnake aj do tvojej schranky, dnes uz len pripojenie na net nieje bezpecne a nie este riesit nejake hesla, ten kto chce tak sa dostane aj keby ta ma chytit a nalozit do auta a vytrieskat to steba. To je uz ale extrem a informacie musia mat dobru hodnotu. raz som cital clanok ze jednemu zistili kolko ma na ucte a potom mu zmyzlo dieta nieco za nieco. hesla su nepodstatne pokial nemate drahe info. aj 123456 je heslo :)
|
neprihlásený 
