Man skulle tro at de fleste av brukerne av tjenesten Ashley Madison er opptatt av å holde kontoen utilgjengelig for andre. Men ser man på passordene mange har brukt, er det lite som tyder på at de tar dette hemmeligholdet så alvorlig. (Bilde: Skjermdump)

Passordkvalitet

Fortsatt brukes superenkle passord av utrolig mange

Hackergruppe har knekket millioner av Ashley Madison-passord.

Lekkasjen av brukerdata fra utroskapstjenesten Ashley Madison nok har skapt litt bølger i enkelte forhold, men nå viser en analyse av dataene at mange på ingen måte kan ha vært særlig opptatt av å hemmeligholde bruken av tjenesten.

Bakgrunn: Hackere lekker info om brukere av utroskapsside 

Svak hashing

En hackergruppe som kaller seg for CynoSure Prime greide i forrige uke å avsløre passordene til millioner av Ashley Madison-brukere fordi en kombinasjon av brukernavn og passord var blitt hashet med den raske, men svake MD5-algoritmen.

Hackergruppen har så langt plukket ut 15 millioner brukere av nærmere 37 millioner totalt. De har greid å knekke passordene til godt over 11 millioner brukere. Deretter har gruppen analysert de drøyt 11,7 millioner passordene, for se på egenskapene.

Les gjerne denne saken: – Ikke stol på passordmålerne 

Enkle passord

Nærmere fem millioner av passordene består kun av små bokstaver, altså uten sifre eller spesialtegn. Drøyt fire millioner av passordene inneholder små bokstaver kombinert med ett eller flere sifre. Mer enn en million passord består kun av sifre.

De resterende består av enten kun store bokstaver, en blanding av store og små bokstaver, store bokstaver kombinert med sifre, eller en blanding av sifre og store og små bokstaver.

Av de 36 millioner brukerne, har mer enn 630 000 brukt brukernavnet sitt også som passord. Nesten alle knekkede passordene er på fem tegn eller mer, men relativt få inneholder mer enn ti tegn. Det lengste som har blitt funnet til nå, er på 28 tegn.

Bare 4,6 millioner av de 11,7 millioner passordene er unike, altså bare benyttet av én bruker.

Unntakene

Det at CynoSure Prime-medlemmene ennå ikke har greid å knekke alle de 15 millioner passordene som har blitt plukket ut, skyldes at en andel av brukere tross alt har benyttet passord som ikke er like enkle å avsløre. Dette kan være fordi de består av uvanlige kombinasjoner av ord, spesialtegn, eller mer eller mindre vilkårlige kombinasjoner av tegn.

Ars Technica har fått tilgang til en liste med de hundre mest brukte passordene, blant passordene som faktisk har blitt knekket.

Tidligere lekkasje: Passordene kan stamme fra norsk nettbutikk 

Mest brukt

Det aller vanligste passordet er 123456. Det ble benyttet av 120 511 brukere. På andre plass ligger det noe enklere passordet 12345, benyttet av 48 452 brukere, foran det alltid tilstedeværende password, benyttet av 39 448 brukere.

Resten av topp ti-listen består av lignende passord, i tillegg til DEFAULT, qwerty og abc123. Dette er passord som går igjen i toppen av stort sett alle slike lister. Det eneste unntaket er kanskje passordet på niende plass, pussy, som nok mindre vanlig å benytte i forbindelse med helt andre typer tjenester.

Det er selvfølgelig også mye annet man kan lese ut av en slik oversikt. For eksempel er passordene football og baseball nesten dobbelt så populære som hockey og soccer. Passordet liverpool er det eneste på topp 100-listen som henviser til et europeisk fotballag, mens yankees er (etter det vi kan se) det eneste baseballaget.

CynoSure Prime har på denne siden lagd noen små oversikter over andre passord som kanskje forteller litt mer om disse brukerne.

Les også: Dette er de verste passordene

Til toppen