Всяка година от 2011 насам, компанията за сигурност SplashData огласява списък с най-използваните пароли, базирани на списъци с изтекли акаунти за достъп.
Ежегодният списък, целящ да напомня за лошите практики на човечеството при избор на пароли, винаги включва предсказуеми пароли като “abc123”, "123456" и "letmein". В топ 20 обаче ежегодно присъства една парола, която е там от самото начало: "dragon".
Защо? Заради популярността на телевизионната адаптация на "Игра на тронове", дебютирала в същата година като списъка с популярни пароли? Или защото толкова много почитатели на Dungeons & Dragons са били с хакнати акаунти? Може би донякъде да, но най-убедителното обяснение е по-просто, отколкото бихте очаквали.
В преследване на дракона
Феноменът "dragon" не е особеност на методологията за анализ на пароли на SplashData. Драконът е заемал десетото място миналата година в друг списък с най-разпространени пароли, този път съставен от WordPress платформата WP Engine. "Dragon" липсва в списъка за 2016, подготвен от Keeper Security, но в него се вземат предвид акаунти, вероятно създадени от ботове.
А стоте най-популярни пароли остават относително стабилни през годините, което като цяло изключва пик на популярност заради Game of Thrones.
"Мисля, че в книгата си изреждам стотици пароли, които съдържат думата "дракон". "Хората често базират паролите си на нещо, което е важно за тях; изглежда драконите попадат в тази категория. От Dungeons & Dragons през Skyrim до Game of Thrones, драконите са изиграли важна роля в нашата култура," коментира съветникът по онлайн сигурност Марк Бърнет, автор на публикуваната през 2005 г. Perfect Passwords.
Начинът, по който учените анализират данните за пароли, също може да допринася за популярността на драконите. Въпреки че десетки хиляди хора вероятно наистина я използват, типът данни за пароли, до които учените имат достъп, е свързан с присъща селективност и тенденциозност.
Учените не могат да се свържат с компания и да поискат от нея да предостави паролите на потребителите си, така че те като цяло разчитат на информация, която е хакната и публично разпространена.
Това често означава, че тя идва от сайтове, които имат слаба като цяло сигурност — и слаби изисквания за пароли. "Сайтовете, които имат най-сложни политики за избор на пароли, не стават жертви на изтичания на информация толкова често," казва Лори Фейт Крейнър, експерт по информатика в университета “Карнеги Мелън”, която изследва въпроса за избора на пароли от повече от осем години.
"Dragon" може би е необичайно популярна, защото хакнатите сайтове е по-малко вероятно да изискват от потребителите си да включват в паролата например цифра или специален символ.
Типът сайт, от който идват данните за пароли, също може да доведе до тенденциозност на резултатите. WP Engine са анализирали 5 млн. Пароли, за които се смята, че са свързани с Gmail акаунти.
Компанията е разгледала имейл адресите и се е опитала да определи пола и възрастта на хората, които са ги създали. Например "JohnDoe84@gmail.com" би се предполагало, че принадлежи на мъж, роден през 1984 г. По този метод учените са определили, че наборът от данни е съставен предимно от акаунти на мъже, предимно раждани през 80-те години. Това веротно се дължи на факта, че много от изтеклите акаунти са от eHarmony и сайт със съдържание за възрастни.
Можете да си представите защо, в подобен набор от данни, думата "dragon" теоретично би могла да присъства по-често, като се има предвид колко относително популярни са "Властелинът на пръстените", Dungeons & Dragons и "Игра на тронове" сред мъжете на 30-35 години.
Други видове тенденциозност в селекцията на данни за пароли са по-очевидни. През 2014 например, Бърнет е помогнал на SplashData да обобщят годишния си списък с разпространени пароли.
Когато за първи път той е анализирал статистиките, той е забелязал, че "lonen0" е невероятно високо в списъка, като заема седмото място. Това се е случило не защото десетки хиляди хора изведнъж са се сетили за тази фраза, а защото тя е била стандартната парола за белгийска компания на име Easypay Group, която е станала жертва на хакване. 10% от потребителите просто не са сменили стандартната парола.
Разгадаване
Друга причина за това "dragon" да изглежда толкова популярна, наравно с други пароли като "123456," е че те са невероятно лесни за разгадаване. Компаниите често "хешират" информацията за достъп, която съхраняват, така че в случай че хакер се добере до акаунтите, да се сблъска със затруднения в достъпа в сравнение със съхранението на паролите в прав текст.
Хешираните данни са математически кодирани така, че да изглеждат като случаен низ от символи, неразбираем за хората. Някои алгоритми за хеширане имат обаче слабости, които позволяват на хакерите да ги разкодират, но дори и те да не успеят да разкрият всяка парола, все пак могат да задействат скриптове, за да определят хешовете на най-разпространените такива.
"Те използват компютърни програми, които първо проверяват най-популярните пароли," коментира Крейнър.
Въпреки потенциалната тенденциозност, учени като Крейнър и Бърнет отделят време за възможно най-детайлно и внимателно конструиране на базите си данни. На този етап толкова много сайтове са ставали жертва на пробиви, че те разполагат с много солидни набори от данни за анализ. И все пак, заявява Бърнет, определянето на "най-масово използваните" пароли в уеб вероятно не може да се нарича точна наука, заради тенденциозността и липсата на контрол.
Подходът на Крейнър е показал, че хората избират пароли като "dragon" по същата причина, по която използват разпространени имена като Майкъл и Дженифър, или любими хобита като бейзбола или футбола.
"Едно от нещата, които наблюдаваме, е че хората са склонни да избират паролите си така, че да са свързани с неща, които харесват. "iloveyou" е една от най-разпространените пароли на всички езици," казва Кранър".
В изследването си Кранър също се пита защо толкова много хора клонят към животни и митични създания при избора на пароли — особено "monkey" (маймуна), която подобно на драконите също винаги е начело в списъка. По време на едно от извършените проучвания Кранър е приканила участниците, избрали за паролата си примат, да обяснят мотивите за избора си.
"Общо взето хората казват, че харесват маймуни, маймуните са симпатични," споделя Крейнър. "Някои хора казват, че са имали домашен любимец, наречен "маймуна", или приятел, чийто прякор е бил "маймуна" (или производни), всичко е много позитивно."
Оказва се, че много хора избират думата dragon по сходни причини. "Започнах с "dragon" в началото на 90-те години, и после тя еволюираше през годините", обяснява пред Wired човек, използващ тази парола. "Вдъхновението за нея беше смесица от игра на Dungeons & Dragons в продължение на 10 години към този момент - и факта, че тъкмо бях инсталирал Legend of the Red Dragon."
"Паролите, както бях чувал, трябва да затруднят другите хора да влязат във вашия акаунт, и драконите са големи и страшни, и не толкова разпространени в реалността, колкото примерно са мечките," отбелязва друг потребител на паролата "dragon". "Естествено, признавам, че тогава основно използвах форуми за нърдове, игри и други подобни неща."
Понякога обаче причината да изберете "dragon" като парола е просто защото сте млади, и драконите ви се виждат нещо страхотно и готино. Както заявява един потребител на паролата "dragon": "Тогава бях на 13 години!"