Πάνω από τους μισούς παραβιασμένους κωδικούς πρόσβασης καταλήγουν σε αριθμό, σχεδόν επτά στους δέκα μπορούν να «σπάσουν» μέσα σε μία ημέρα, ενώ ακόμη και οι μακροσκελείς κωδικοί δεν προσφέρουν ουσιαστική ασφάλεια όταν βασίζονται σε προβλέψιμα μοτίβα. Αυτό δείχνει νέα ανάλυση της Kaspersky, η οποία, με αφορμή την Παγκόσμια Ημέρα Κωδικών Πρόσβασης, εξέτασε 231 εκατ. μοναδικούς κωδικούς, που διέρρευσαν μαζικά την περίοδο 2023-2026, καταγράφοντας τις συνήθειες, που συνεχίζουν να εκθέτουν χρήστες και επιχειρήσεις.

Οι κωδικοί παραμένουν προβλέψιμοι: Πάνω από τους μισούς τελειώνουν σε αριθμό

Το βασικό συμπέρασμα της έρευνας είναι ότι οι χρήστες εξακολουθούν να δημιουργούν passwords με τρόπους, που μοιάζουν σύνθετοι, αλλά στην πράξη παραμένουν εύκολα προβλέψιμοι. Η προσθήκη ενός αριθμού ή ενός συμβόλου δεν αρκεί, όταν τοποθετείται στο πιο αναμενόμενο σημείο: στην αρχή ή στο τέλος του κωδικού. 

Σύμφωνα με την Kaspersky, το 53% των κωδικών, που εξετάστηκαν, τελειώνει σε αριθμό, ενώ το 17% ξεκινά με αριθμό. Σχεδόν το 12% περιλαμβάνει αριθμητική ακολουθία, που παραπέμπει σε ημερομηνία από το 1950 έως το 2030, ενώ το 3% περιέχει ακολουθίες πληκτρολογίου, όπως «qwerty», «ytrewq» ή αριθμητικά μοτίβα τύπου «1234».

Ανάλογη προβλεψιμότητα εμφανίζεται και στη χρήση συμβόλων. Το «@» είναι το πιο συνηθισμένο σύμβολο σε παραβιασμένους κωδικούς, που περιλαμβάνουν μόνο ένα ειδικό χαρακτήρα, καθώς εμφανίζεται στο 10% των περιπτώσεων. Ακολουθεί η τελεία με 3%, ενώ συνολικά το «@» καταλαμβάνει τη δεύτερη θέση σε συχνότητα εμφάνισης και το θαυμαστικό την τρίτη.

Όπως σημειώνει η Kaspersky, τα συχνά χρησιμοποιούμενα σύμβολα, οι αριθμοί και οι ημερομηνίες διευκολύνουν τις επιθέσεις brute force, ιδιαίτερα όταν εμφανίζονται σε προφανή σημεία. «Το brute force λειτουργεί δοκιμάζοντας συστηματικά κάθε πιθανό συνδυασμό χαρακτήρων μέχρι να εντοπιστεί ο σωστός κωδικός. Όταν οι επιτιθέμενοι γνωρίζουν, ήδη, ποιους χαρακτήρες προτιμούν οι χρήστες, ο χρόνος που απαιτείται για το “σπάσιμο” ενός κωδικού μειώνεται δραματικά», σχολιάζει.

Συναισθηματικά δημοφιλές 

Η έρευνα δείχνει, επίσης, ότι οι χρήστες εξακολουθούν να ενσωματώνουν στους κωδικούς τους λέξεις με συναισθηματικό ή δημοφιλές περιεχόμενο. Η λέξη «Skibidi», ακολουθώντας την άνοδο της σχετικής διαδικτυακής τάσης, εμφανίστηκε 36 φορές συχνότερα στους κωδικούς μεταξύ 2023 και 2026. 

Συχνές είναι και θετικά φορτισμένες λέξεις, όπως «love», «magic», «friend», «team», «angel», «star» και «eden», οι οποίες εμφανίζονται συχνότερα από αρνητικούς όρους, όπως «hell», «devil», «nightmare» και «scar».

Η Kaspersky προειδοποιεί ότι ένας μονολεκτικός κωδικός, ακόμη κι αν συνοδεύεται από αριθμό ή σύμβολο, παραμένει αδύναμη επιλογή. Αντίθετα, προτείνεται η χρήση φράσεων-κωδικών, που συνδυάζουν άσχετες μεταξύ τους λέξεις, αριθμούς και σύμβολα, ακόμη και σκόπιμα ορθογραφικά λάθη, ώστε το αποτέλεσμα να είναι μεγαλύτερο, τυχαίο και λιγότερο προβλέψιμο.

Το μήκος του κωδικού παραμένει κρίσιμο, αλλά όχι από μόνο του. Η ανάλυση δείχνει ότι οι σύντομοι κωδικοί έως οκτώ χαρακτήρες, που βρίσκονται σε διαρροές, συνήθως παραβιάζονται σε λιγότερο από μία ημέρα. Ωστόσο, με τη χρήση έξυπνων αλγορίθμων, που αξιοποιούν τεχνητή νοημοσύνη, περισσότερο από το 20% των κωδικών με 15 χαρακτήρες μπορεί να «σπάσει» σε λιγότερο από ένα λεπτό. Συνολικά, το 60,2% των κωδικών, που αναλύθηκαν, μπορεί να παραβιαστεί μέσα σε περίπου μία ώρα και το 68,2% μέσα σε μία ημέρα.

Ποιοί είναι οι ισχυροί κωδικοί

Με τα σημερινά δεδομένα, η Kaspersky τονίζει ότι οι πραγματικά ασφαλείς κωδικοί δεν πρέπει απλώς να ξεπερνούν τους 16 χαρακτήρες. Πρέπει να είναι μοναδικοί για κάθε λογαριασμό, να αποτελούνται από τυχαίους, μη επαναλαμβανόμενους συνδυασμούς γραμμάτων, αριθμών και συμβόλων και να αποφεύγουν λέξεις, ημερομηνίες και μοτίβα πληκτρολογίου. 

Ως πρόσθετη γραμμή άμυνας προτείνεται η ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων, η χρήση password manager και όπου υποστηρίζεται, η μετάβαση σε passkeys.