Miliardy haseł w jednym pliku TXT. Twoje też może tam być

Jeden z użytkowników popularnego forum hakerskiego opublikował post z załączonym plikiem zawierającym 8,4 miliarda haseł użytkowników. Liczący aż 100 GB plik w formacie TXT to najprawdopodobniej największy jednorazowy wyciek haseł w historii.

Plik, który jest najprawdopodobniej kompilacją haseł pozyskanych w innych wyciekach, nosi nazwę RockYou2021. Jest to najprawdopodobniej odniesieniem do incydentu z 2009 roku, kiedy cyberprzestępcom udało się włamać do serwerów serwisu social media i pobrać 32 mln haseł przechowywanych w niezaszyfrowanej postaci.

Według autora postu, plik ma zawierać 82 miliardy haseł o długości od 6 do 20 znaków, z usuniętymi znakami nie należącymi do ASCII i spacjami. Jak jednak sprawdzili dziennikarze cybernews.com, faktyczna liczba haseł zapisanych w RockYou2021 to "tylko" nieco ponad 8,4 miliarda.

Nawet ta niższa liczba czyni wyciek największym zbiorem wykradzionych haseł w historii - do tej pory ten niechlubny tytuł należał do COMB - Compilation of Many Breaches (kompilacji wielu włamań), zbioru zawierającego 3,2 miliarda haseł.

Dobrym punktem odniesienia dla skali wycieku jest fakt, że liczba ludzi korzystających z internetu to około 4,7 miliardów. Oznacza to, że plik RockYou2021 statystycznie zawiera po dwa hasła na każdą osobę aktywną w sieci. Jest więc bardzo prawdopodobne, że znajdują się tam także wasze (i moje) hasła.

Zbiory haseł w rodzaju RockYou2021 wykorzystywane są jako bazy w atakach słownikowych, pozwalając dramatycznie ograniczyć zużycie mocy obliczeniowej i umożliwiając masowe łamanie haseł dostępu w stosunkowo krótkim czasie.

Przy tej okazji warto przypomnieć, że dla zachowania maksymalnego bezpieczeństwa hasła powinny być długie (co najmniej 8 znaków), zawierać duże i małe litery, cyfry i znaki niestandardowe i nie zawierać typowych słów takich jak "hasło" czy "password". Kluczowe jest, żeby do każdej usługi używać unikalnego hasła, a dobrą praktyką jest także okresowe zmienianie haseł.