password hasło
(fot. pixabay.com)

10 miliardów skradzionych haseł. Wszystkie w jednym pliku

Niemal 10 miliardów – a dokładnie 9 948 575 739 – haseł znajduje się w pliku tekstowym opublikowanym na jednym z popularnych wśród cyberprzestępców forów internetowych. Zajmujący się bezpieczeństwem cyfrowym zespół Cybernews nazywa to największą tego typu kompilacją w historii.

RockYou2024, czyli największa kompilacja haseł w historii

Opublikowany 4 lipca 2024 roku plik nazywa się „rockyou2024.txt” i zawiera hasła, które nie pochodzą z jednego źródła, lecz zostały zebrane w wyniku licznych włamań i wycieków. Z wpisu autora wynika, że niektóre z nich są nowe, inne nieco starsze, a pozostałe mają 20 lat lub więcej. To na dobrą sprawę rozszerzona wersja pliku „rockyou2021.txt.”, który zawierał 8,4 mld haseł.

Dlatego właśnie ten plik nie stanowi nawet tak dużego zagrożenia sam w sobie. Jest wysoce prawdopodobne, że potencjalne ofiary zdążyły już zmienić swoje hasła. Jednak wcale nie oznacza to, że problemu nie ma – wręcz przeciwnie. Problem jest i to z gatunku tych poważniejszych.

rockyou2024 hasła kompilacja screen
źródło: Cybernews

Jak zauważają eksperci z Cybernews, taka kompilacja z 10 mld haseł stanowi idealną bazę do wykonywania ataków typu brute-force (polegających na próbach złamania hasła poprzez sprawdzanie różnych kombinacji). W jednym miejscu zbiera olbrzymią liczbę haseł, o których wiadomo przynajmniej, że rzeczywiście były kiedyś wykorzystywane.

Co robić, jak żyć? Czy trzeba zmienić swoje hasła?

Jeśli nie widzisz żadnych podejrzanych działań na swoich kontach, zmiana hasła nie musi być konieczna. Tego typu wiadomości wyraźnie jednak pokazują, że naprawdę dobrym pomysłem może być postawienie na 2FA, czyli uwierzytelnianie dwuskładnikowe – wszędzie tam, gdzie dostępna jest taka możliwość.

Włączenie podwójnej weryfikacji sprawia, że login i hasło to jeszcze za mało, by przejąć kontrolę nad czyimś kontem. Do tego potrzebny jest jeszcze ten drugi, znacznie trudniejszy do zdobycia „składnik” – może to być odcisk palca, kod przesłany SMS-em lub wygenerowany w aplikacji albo też token sprzętowy (taki jak fizyczny klucz YubiKey umieszczany w porcie USB).

Co zaś się tyczy samych haseł, to najlepiej jest je tworzyć według kilku uniwersalnych reguł. Ciągi znaków, jakich używamy do logowania, powinny być unikalne (jedno hasło – jeden serwis), jak najdłuższe (minimum 15 znaków), anonimowe (tzn. niezawierające żadnych osobistych informacji), niesłownikowe (czyli niebędące prawdziwym wyrazem, nawet jeśli jest on bardzo długi), łatwe do zapamiętania i trudne do odgadnięcia.