Με αφορμή την Παγκόσμια Ημέρα Κωδικών Πρόσβασης, οι ειδικοί της Kaspersky ανέλυσαν 231 εκατομμύρια μοναδικούς κωδικούς που διέρρευσαν μαζικά κατά την περίοδο 2023–2026 και εντόπισαν βασικά μοτίβα ασφαλείας. Σύμφωνα με την έρευνα, το 68% των κωδικών που χρησιμοποιούνται σήμερα μπορεί να παραβιαστεί μέσα σε μία ημέρα. Παράλληλα, διαπιστώθηκε ότι η συντριπτική πλειονότητα των παραβιασμένων κωδικών είτε ξεκινά είτε καταλήγει σε αριθμό — ένα συνηθισμένο μοτίβο που τους καθιστά πιο ευάλωτους σε επιθέσεις brute force. Τέλος, οι χρήστες φαίνεται να προτιμούν δημοφιλείς λέξεις με θετικό πρόσημο. Χαρακτηριστικό παράδειγμα αποτελεί η λέξη «Skibidi», η χρήση της οποίας στους κωδικούς που αναλύθηκαν αυξήθηκε κατά 36 φορές τα τελευταία χρόνια, ακολουθώντας την άνοδο της συγκεκριμένης διαδικτυακής τάσης.
Τα τελευταία χρόνια, οι κανόνες για τη δημιουργία ασφαλών κωδικών πρόσβασης αποτελούν αντικείμενο έντονης συζήτησης. Όλο και περισσότερες υπηρεσίες απαιτούν πλέον κωδικούς με τουλάχιστον 10 χαρακτήρες, οι οποίοι να περιλαμβάνουν ένα κεφαλαίο γράμμα και έναν αριθμό ή σύμβολο. Ωστόσο, συγκριτική ανάλυση κωδικών που παραβιάστηκαν τα τελευταία χρόνια δείχνει ότι ακόμη και η τήρηση ορισμένων από αυτούς τους κανόνες δεν εγγυάται προστασία απέναντι σε επιθέσεις brute force ή επιθέσεις που βασίζονται στην τεχνητή νοημοσύνη.
Οι ειδικοί της Kaspersky μοιράζονται πρακτικές συμβουλές για τη δημιουργία πιο σύνθετων και ασφαλών κωδικών πρόσβασης, καθώς και για την αποφυγή συνηθισμένων λαθών.
Να είστε εφευρετικοί με τη χρήση συμβόλων και αριθμών
Το «@» βρίσκεται στην κορυφή της λίστας των παραβιασμένων κωδικών που περιλαμβάνουν μόνο ένα σύμβολο, καθώς εμφανίζεται στο 10% των περιπτώσεων. Ακολουθεί η τελεία («.»), η οποία εντοπίζεται στο 3% των κωδικών. Συνολικά, το «@» καταλαμβάνει τη δεύτερη θέση σε συχνότητα εμφάνισης, ενώ στην τρίτη θέση βρίσκεται το θαυμαστικό («!»).
Οι αριθμοί ακολουθούν επίσης παρόμοια προβλέψιμα μοτίβα:
- Το 53% των κωδικών που εξετάστηκαν καταλήγει σε αριθμό.
- Το 17% ξεκινά με αριθμό.
- Σχεδόν το 12% περιλαμβάνει αριθμητική ακολουθία που παραπέμπει σε ημερομηνία (από το 1950 έως το 2030).
- Το 3% των παραβιασμένων κωδικών περιλαμβάνει ακολουθίες χαρακτήρων πληκτρολογίου, όπως «qwerty» ή «ytrewq», αν και οι περισσότερες αφορούν αριθμητικά μοτίβα όπως το «1234».
Ο Alexey Antonov, επικεφαλής της ομάδας Data Science στην Kaspersky, σημειώνει ότι τα συχνά χρησιμοποιούμενα σύμβολα, οι αριθμοί και οι ημερομηνίες διευκολύνουν σημαντικά τις επιθέσεις brute force από κυβερνοεγκληματίες — ιδιαίτερα όταν βρίσκονται σε προφανή σημεία, όπως στην αρχή ή στο τέλος των κωδικών πρόσβασης. Για τον λόγο αυτό, συνιστάται οι χρήστες να προτιμούν λιγότερο συνηθισμένους χαρακτήρες και να αποφεύγουν αριθμητικές ακολουθίες ή μοτίβα πληκτρολογίου.
«Το brute force λειτουργεί δοκιμάζοντας συστηματικά κάθε πιθανό συνδυασμό χαρακτήρων μέχρι να εντοπιστεί ο σωστός κωδικός. Όταν οι επιτιθέμενοι γνωρίζουν ήδη ποιους χαρακτήρες προτιμούν οι χρήστες, ο χρόνος που απαιτείται για το “σπάσιμο” ενός κωδικού μειώνεται δραματικά. Για να αποφύγετε τη χρήση προβλέψιμων συμβόλων, προτιμήστε εξειδικευμένα password generators, τα οποία δημιουργούν τυχαίους συνδυασμούς γραμμάτων, αριθμών και συμβόλων με ίσες πιθανότητες», σχολιάζει ο Alexey Antonov.
Ανάμεσα… στον Παράδεισο και την Κόλαση: αποφύγετε να βάζετε λέξεις στους κωδικούς
Η έρευνα δείχνει ότι συναισθηματικά φορτισμένες και δημοφιλείς λέξεις χρησιμοποιούνται συχνά ως βάση για τη δημιουργία κωδικών πρόσβασης. Χαρακτηριστικό παράδειγμα αποτελεί η λέξη «Skibidi», η χρήση της οποίας στους κωδικούς αυξήθηκε κατά 36 φορές μεταξύ 2023 και 2026, ακολουθώντας τη ραγδαία εξάπλωση της συγκεκριμένης διαδικτυακής τάσης.
Οι ειδικοί της Kaspersky ανέλυσαν επίσης τη συχνότητα εμφάνισης λέξεων με θετικό και αρνητικό πρόσημο στους κωδικούς πρόσβασης και διαπίστωσαν ότι οι θετικές υπερισχύουν. Μεταξύ των λέξεων που εμφανίζονται συχνά περιλαμβάνονται οι «love», «magic», «friend», «team», «angel», «star» και «eden». Ενδιαφέρον παρουσιάζει το γεγονός ότι οι θετικές λέξεις είναι σημαντικά πιο συχνές από τις αρνητικές, αν και απαντώνται και όροι όπως «hell», «devil», «nightmare» και «scar».
«Η χρήση ενός μονολεκτικού κωδικού πρόσβασης, ακόμη και αν περιλαμβάνει έναν αριθμό ή ειδικό σύμβολο στο τέλος, αποτελεί αδύναμη επιλογή. Το μοτίβο αυτό είναι υπερβολικά προβλέψιμο, γεγονός που διευκολύνει τους επιτιθέμενους να το μαντέψουν. Αντίθετα, προτείνεται η δημιουργία μιας φράσης-κωδικού που συνδυάζει αρκετές άσχετες μεταξύ τους λέξεις, μαζί με αριθμούς και σύμβολα, καθώς και η σκόπιμη εισαγωγή ορισμένων ορθογραφικών λαθών. Όσο πιο μεγάλος, τυχαίος και απρόβλεπτος είναι ο κωδικός, τόσο δυσκολότερη γίνεται η παραβίασή του. Ως επιπλέον μέτρο προστασίας, συνιστάται η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων (2FA), όπου αυτό είναι δυνατό», προτείνει ο Alexey Antonov.
Πόσο μεγάλος πρέπει να είναι ο κωδικός σας;
Ως γνωστόν, οι μεγαλύτεροι κωδικοί πρόσβασης είναι δυσκολότερο να παραβιαστούν, και η ανάλυση κωδικών που έχουν διαρρεύσει επιβεβαιώνει αυτή την αρχή. Ωστόσο, με την άνοδο εργαλείων που βασίζονται στην τεχνητή νοημοσύνη, η χρήση απλώς μακροσκελών κωδικών δεν αποτελεί εγγύηση ασφάλειας για τους χρήστες: ακόμη και μεγάλοι κωδικοί μπορούν να παραβιαστούν, εάν ακολουθούν προβλέψιμα μοτίβα.
Η έρευνα δείχνει ότι οι σύντομοι κωδικοί έως οκτώ χαρακτήρες που εντοπίζονται σε διαρροές συνήθως “σπάνε” μέσω επιθέσεων brute force μέσα σε λιγότερο από μία ημέρα. Ωστόσο, χάρη σε “έξυπνους” αλγορίθμους που αξιοποιούν την τεχνητή νοημοσύνη, περισσότερο από το 20% των κωδικών με 15 χαρακτήρες μπορεί να παραβιαστεί σε λιγότερο από ένα λεπτό.
Πώς το μήκος του κωδικού επηρεάζει τον χρόνο παραβίασης: Τα αποτελέσματα βασίζονται σε χρήση μίας GPU RTX 5090 και του αλγορίθμου MD5. Στην πράξη, όμως, οι επιτιθέμενοι μπορούν να νοικιάσουν πολλαπλές GPU — δέκα, εκατό ή και περισσότερες. Σε τέτοιες περιπτώσεις, ο ρυθμός παραβίασης μπορεί να αυξηθεί σημαντικά.
Επιπλέον, το 60,2% του συνόλου των κωδικών που αναλύθηκαν — ανεξαρτήτως της έκτασής τους— μπορεί να παραβιαστεί μέσα σε περίπου μία ώρα, ενώ το 68,2% μέσα σε μία ημέρα.
