A Specops Software új tanulmánya szerint a sikeres támadásokban érintett jelszavak 88 százaléka 12 vagy annál kevesebb karakterből állt, a leggyakoribb mindössze nyolc karakter volt (24 százalék). A mintegy 800 millió feltört jelszó elemzéséből összeállított kutatás szerint a jelszavakban leggyakrabban használt alapkifejezések lehangolóan ismerősek: password, admin, welcome és p@ssw0rd.
A csak kisbetűket tartalmazó jelszavak közül kerülnek ki a leggyakoribb karakterkombinációk, amelyek a támadások során érintettek (18,82 %). A tanulmányból azonban az is kiderül, hogy a megtámadott jelszavak 83 százaléka megfelelt a kiberbiztonsági megfelelőségi szabványok - például a NIST, a PCI, a GDPR esetében az ICO, a HIPAA esetében a HITRUST és az NCSC esetében a Cyber Essentials - hosszúsági és összetettségi követelményeinek.
"Ez azt mutatja, hogy bár a szervezetek összehangolt erőfeszítéseket tesznek a legjobb jelszógyakorlatok és az iparági szabványok betartására, többet kell tenni annak érdekében, hogy a jelszavak erősek és egyediek legyenek. A modern jelszótámadások kifinomultsága miatt mindig további biztonsági intézkedésekre van szükség az érzékeny adatokhoz való hozzáférés védelméhez" - mondta Darren James, a Specops Software termékmenedzsere.
A fenyegető szereplők kifejezetten feltört jelszavakat használnak fel, hogy azokat szisztematikusan futtassák a felhasználó e-mailjével. A brutális erővel végrehajtott támadás során aztán hozzáférnek egy adott fiókhoz. Az Nvidiához történt 2022-es adatbetörése során, amikor több ezer munkavállalói jelszó szivárgott ki, sok alkalmazott olyan jelszavakat használt, mint az Nvidia, a qwerty és az nvidia3d, ami könnyű utat kínált a hackerek számára a hálózatba való bejutáshoz.
"A Weak Password Report 2023-as kiadása ismét rámutat a vállalati IT-környezet leggyengébb láncszemének biztosításával kapcsolatos folyamatos kihívásokra. Ahhoz, hogy a mai hitelesítő támadásokkal szemben lépést tudjanak tartani, minden vállalatnak erős jelszószabályzatot kell bevezetnie, beleértve a szervezethez kapcsolódó egyéni szótárakat is" - figyelmeztetett James a BetaNews szerint.