Trustwave 2012 Global Security Report toho obsahuje víc, je to více-než-60stránkový dokument pojednávající o bezpečnostních incidentech, statistikách malwaru, antivirech a řadě dalších věcí. Nicméně statistika hesel je velmi oblíbené téma, proto jemu (jakož i řada dalších webů) věnujeme speciální článek.

Rovnou vám předložíme žebříček 25 nejpoužívanějších hesel. Týká se to samozřejmě anglicky mluvících zemí, takže vévodit nebude přímo „heslo“, ale „password“:

Důvod, proč je drtivě nejpoužívanějším heslem Password1, je asi jasný: splňuje definici složitého hesla pro Active Directory: má nejméně 8 znaků, obsahuje kombinaci velkých a malých písmen a samozřejmě obsahuje číslo. Pro pohodlné uživatele jde o první heslo na ráně.

Pokud jde o žebříček sekvencí hesel, ten je také zajímavý. Vede kombinace aaaaaa11, kde a je malé písmeno a 1 je číslo. Pak dlouho nic a teprve potom následuje kombinace aaaaaaa1, jak ukazuje další obrázek (v závorkách jsou vzory takových hesel, přičemž „password“ a "123…" byly vybrány jako takový typicky „John Doe“ mezi hesly).

S tím vším také souvisí typická délka hesla: jednoznačně vede osmiznakové. Kratších je méně, protože to většinou neprojde právě požadavky na složitost hesla, které v řadě případů chtějí alespoň 8 znaků (někde zjevně stačí 6), překvapivě je jich ale hodně i za tou osmiznakovou hranicí. Ludolfovým číslem na desítky desetinných míst si asi zdobí heslo málokdo ;-).

Pro pořádek ještě statistiky složitosti hesel – nejvíce vedou kombinace malých písmen a čísel, následované přidáním nějakého toho velkého písmene a na třetím místě jsou hesla s kombinací dříve uvedeného „narušená“ speciálními znaky. Opět je jasné, že velkou roli v tom hrají požadavky na složitost hesel.

S požadavky na složitost hesel by se to každopádně nemělo přehánět. Uživatelé si totiž taková hesla nejsou typicky schopni zapamatovat, takže vzniká bezpečnostní díra v podobě zapsání hesla na kus papírku a nejlépe jeho přilepení na monitor (už jsem se setkal i s aplikací, která požadovala přesně osmiznakové heslo (ne více, ne méně), které muselo mít dva velké znaky, dva malé, dva speciální a dvě čísla – to je každopádně cesta do pekel, protože málokdo má doma kočku jménem X8f$4*Am – překvapivě jsem tenkrát dokázal vymyslet na podobnou kombinaci zapamatovatelné heslo, dneska bych s tím asi poslal admina tam, kde záda přestávají mít slušné jméno ;-). Přitom asi nejsnazší je prostě požadovat heslo dostatečně dlouhé (Po­Str­nis­ti­Vi­tr­Du­je­De­dek­VLe­se­O­na­nu­je se láme výrazně hůře než zmíněný X8f$4*Am a přitom jde výrazně snáze zapamatovat).