Cum se face că încă este posibil să „securizezi” un cont online cu un șir de șase cifre? Cea mai utilizată parolă la nivel global este „123456”. Așa reiese din cel mai recent raport anual NordPass privind parolele expuse în breșe de date la nivel global. Alte alegeri la fel de previzibile, precum „123456789”, „12345678”, „12345” și „admin”, continuă să își păstreze popularitatea an de an.

Prima reacție este să calific informația drept alarmistă, mai ales că igiena precară a parolelor a făcut parte și dintr-o sesiune interactivă pe care am susținut-o la recenta conferință RSAC, intitulată „Let's Rant: 4 Things That Need to Change in Cybersecurity”. Dar, având în vedere că astăzi este Ziua Mondială a Parolei, am vrut să testez: mai pot găsi un site mainstream care să-mi permită să creez cont folosind „123456” ca parolă? Din păcate, răspunsul este da.

Există site-uri populare, precum „evite”, care încă permit utilizarea acestui șir de șase cifre ca parolă. Poate părea doar un serviciu de invitații online, până când realizezi că acolo sunt partajate date cu caracter personal (prin invitații) și că gestionezi răspunsurile tuturor invitaților printr-un cont care nu este securizat. Șocant este că site-ul a fost victima unei breșe de securitate în 2019, care a expus informațiile personale a peste 100 de milioane de persoane. Compania ar trebui să poată mai mult decât să le permită utilizatorilor alegerea unor parole atât de slabe.

Situația nu este mai bună nici pentru servicii chiar mai populare. Când am încercat să creez un cont nou pe Facebook, platforma a impus un nivel suplimentar de complexitate pentru parolă. Totuși, un șir atât de simplu precum „1234567!” a fost acceptat ca parolă validă. Aceeași situație și pe platforma X.

De exemplu, Facebook oferă unele recomandări, precum: „evitați utilizarea cuvintelor comune, cum ar fi «password»” și „dacă parola nu este suficient de puternică, combinați litere mari și mici. Faceți-o mai complexă folosind o frază mai lungă sau o serie de cuvinte pe care le puteți ține minte, dar pe care alții nu le pot ghici.”

Totuși, platforma permite utilizarea unei parole precum „1234567!”, fără litere – doar un șir secvențial cu un simplu semn de exclamare la final – ușor de ghicit, mai ales de scripturi automate care testează în masă conturi folosind tipare și combinații frecvent întâlnite. Între timp, Collins Dictionary, un site cu conținut mult mai puțin sensibil, m-a obligat să creez o parolă de opt caractere care să includă cel puțin trei dintre următoarele: litere mici (a-z), litere mari (A-Z), cifre (0-9) și caractere speciale (de exemplu !@#$%^&).

Datele NordPass sugerează că există multe alte site-uri care aplică politici de parole laxe și permit parole triviale precum „123456”. Totuși, consider că ar putea exista și alte explicații în metoda folosită pentru stabilirea celor mai comune parole. De exemplu, dacă o companie există de 10 ani și nu a șters niciodată conturile inactive, atunci o breșă de securitate ar include informații depășite din conturi vechi – unele dintre ele provenind din perioada anterioară implementării oricărei politici de parole. De asemenea, motivația din spatele publicării unor astfel de date cu impact mediatic este destul de clară: cei care lansează aceste știri pot avea de câștigat, deoarece oferă ulterior software de gestionare a parolelor pe bază de abonament.

Ce putem face pentru a ieși din acest cerc vicios

Acum, cum putem rezolva acest cerc vicios al știrilor proaste privind parolele, alături de situația ridicolă în care platformele încă mai permit utilizarea unor parole nesigure? 

Susțin ideea ca legiuitorii să îi menajeze pe cetățeni, dar în acest caz cred că este timpul să se ridice la înălțimea așteptărilor și să pună capăt situației în care companiile nu implementează politici de autentificare riguroase și le permit consumatorilor să aleagă varianta cea mai simplă. Există o legislație extinsă privind confidențialitatea care stipulează că firmele trebuie să ne securizeze datele cu caracter personal dacă le stochează, utilizând măsuri de securitate cibernetică adecvate și rezonabile. O componentă esențială a acestor măsuri este impunerea unor parole puternice și complexe, precum și utilizarea autentificării multi-factor (MFA), așa cum cere orice cadru de securitate cibernetică ce se respectă. Cu toate acestea, în multe cazuri nu există cerințe de securitate cibernetică privind autentificarea multi-factor pentru serviciile destinate clienților. 

Unele industrii au fost nevoite să adopte metode moderne de autentificare. În sectorul financiar, de exemplu, există mai multe reglementări, precum Directiva privind serviciile de plată 2 (PSD2), care impun MFA pentru plățile electronice și accesul online la conturile de plată. Legislația ar trebui extinsă la toate industriile: impunerea MFA pentru toate conturile create online, indiferent de serviciul accesat, eliminarea utilizării parolelor și adoptarea unor metode de securitate mai adecvate pentru internetul de astăzi.

Un posibil obstacol în impunerea acestei abordări este dificultatea suplimentară pentru utilizatori când își creează conturi. Companiile care depind de publicitate sau de colectarea (și vânzarea) datelor personale pentru venituri vor face lobby semnificativ împotrivă, iar organizațiile cu bugete mari vor insista ca nimic să nu interfereze cu profitul, în special măsuri precum securizarea conturilor clienților prin impunerea unor parole complexe și/sau a MFA.

De-a lungul celor peste 30 de ani de carieră în industria securității cibernetice, problema parolelor slabe a fost un mesaj constant, transmis zilnic, la numeroase evenimente și chiar printr-o zi dedicată special acestui subiect. Există o soluție simplă și eficientă: impunerea parolelor complexe sau, și mai bine, utilizarea autentificării multi-factor. Pentru un viitor digital sigur și date protejate, recomand eliminarea cât mai rapidă a „parolelor slabe”, atât pentru conturile business, cât și pentru cele ale utilizatorilor comuni. 

Pentru a genera parole puternice și pentru a afla mai multe despre securitatea conturilor online, accesează pagina ESET pentru generarea de parole.