De siste årene har det skjedd mange store passordlekkasjer. Mange av disse har senere blitt samlet i søkbare databaser eller i alfabetisk sorterte ordlister. Men ifølge en person som kaller seg for berzerk0, reflekterer dette i liten grad hvilke passord som er mye brukt.
Derfor har berzerk0 samlet passord fra en rekke kilder i én eneste tekstfil, for så å telle duplikater og sortere det hele etter sannsynlig popularitet. Resultatet er en fil som inneholder 297 millioner ulike passord, sortert etter sannsynlighet. Alle passordene har blitt funnet minst fem ganger i samlingen som foreløpig består av mer enn 5 milliarder passordoppføringer.
Les også: Mange av de vanligste passordene kan relateres til offentlig virksomhet i Norge
Gigabyte med passord
Instruksjoner om hvordan man kan laste ned filen, som ferdig utpakket er på 3,01 gigabyte, finnes her.
For å lese en slik fil, bør man vurdere å bruke et verktøy som ikke må lese inn hele filen i minnet før noe kan vises. Kommandoen more, som finnes i kommandolinje-/ledetekst-verktøyene til de fleste operativsystemer, inkludert Windows, fungerer fint.
Notepad i Windows takler ikke så store filer, men i alle fall TextPad greier det så lenge maskinen har nok minne.
Øker man kravet til bare å inkludere passord som har blitt funnet minst 25 ganger i samlingene, får man en sortert fil med omtrent 125 tusen passord. Det er litt mer håndterlig for de fleste.
Filene inkluderer riktignok bare ASCII-tegn. Det vil si at andre tegn er fjernet fra passordene. Derfor finner man passord som «prvekjringen» i listen. berzerk0 planlegger å inkludere også andre tegnsett i en senere versjon av samlingen.
Leste du denne? Outlook 2016 forstår ikke en døyt av passord med ikke-engelske tegn
Mindre jobb for angripere
I en ansvarsfraskrivelse skriver berzerk0 at listene bare er ment for lovlige, etiske og undervisningsrelaterte formål. Det er likevel ingen tvil om at den sorte listen kan gjøre det enklere for ondsinnede å utføre «brute force» ordbok-angrep når man kan teste passord etter sannsynlighet.
– Dersom vi antar at det vanligste passordet er «password», og vi utfører et ordbokangrep ved å bruke en engelsk ordbok, må vi gå gjennom alle ord fra «aardvark» til «password» for å komme til «password». Nå husker jeg i farten ikke hvor vanlig det er med «aardvark» som passord, men vi kan komme til å kaste bort mye tid ved ikke å starte med de vanligste passordene i listen vår, skriver berzerk0.
Man må derfor kunne regne med at motiverte kriminelle vil ta utgangspunkt i denne listen i framtiden. Benytter man et passord som er på denne listen, bør man nok vurdere å bytte det ut. I alle fall dersom man benytter passordet i forbindelse med viktige tjenester.
Også i Norge: Hundrevis av norske politikeres passord lekket
De aller mest brukte
berzerk0 har også lagd en fil med alle passord som er oppgitt minst 75 ganger i samlingene. Det dreier seg om 220 ulike passord. Den viser at «password» faktisk ikke er det mest populære passordet, men blir slått av «123456».
Det er i det minste bedre enn passordet på fjerdeplass, som kun består av ett tegn: «1». Men man kan jo lure hva slags tjeneste det er som godtar så korte passord.
Per Thorsheim, en anerkjent norsk passordekspert, sa til digi.no i fjor at man bør bruke et ganske langt passord. Det betyr ikke at det skal være vanskelig å huske.
– Når folk spør meg hva et godt passord er, så sier jeg at de skal skrive en setning. Det spiller ingen rolle hvor lang den er, for en setning inneholder ofte flere ord. I tillegg har den mellomrom mellom ordene, og benytter seg ofte av store bokstaver og andre spesialtegn som komma, punktum og utropstegn. Om man lager en setning som gir en positiv assosiasjon er det også en mye større sannsynlighet for at man husker passordet, sa Thorsheim.
Leste du denne? Ulf knekker Mac-passord med sin oppfinnelse