ΑρχικήΔιαδίκτυοΚωδικοί πρόσβασης που οι χρήστες καλό είναι να αποφεύγουν
Διαδίκτυο

Κωδικοί πρόσβασης που οι χρήστες καλό είναι να αποφεύγουν

Στέλιος Θεοδωρίδης
By Στέλιος Θεοδωρίδης
0
0
Κωδικοί πρόσβασης που οι χρήστες καλό είναι να αποφεύγουν

Τι έδειξε η ανάλυση 6 δισ. κωδικών από πολλαπλά data leaks

Ερευνητές ανέλυσαν περίπου έξι δισεκατομμύρια κωδικούς πρόσβασης από διάφορες διαρροές δεδομένων. Η έκθεση τους αναδεικνύει μοτίβα που εμφανίζονται ιδιαίτερα συχνά.

Οι ειδικοί ασφάλειας της Specops Software εξέτασαν έξι δισεκατομμύρια κωδικούς που διέρρευσαν το περασμένο έτος και δίνουν μια εικόνα για τα πιο συχνά χαρακτηριστικά τους.

Σύμφωνα με την έκθεση των ερευνητών, οι κωδικοί που αναλύθηκαν προέρχονται αποκλειστικά από data leaks που συγκέντρωσε η μητρική εταιρεία της Specops, η Outpost24, από Ιανουάριο έως Δεκέμβριο 2025.

Τα 5 πιο συχνά passwords (καθόλου έκπληξη)

Χωρίς ιδιαίτερη έκπληξη, οι πέντε κωδικοί που εντοπίστηκαν συχνότερα είναι οι εξής:

  1. 123456
  2. 123456789
  3. 12345678
  4. admin
  5. password

Οι παραπάνω επιλογές συμπίπτουν σε μεγάλο βαθμό με τα κορυφαία passwords που είχαν εντοπίσει και ερευνητές της Comparitech σε δική τους ανάλυση δύο δισεκατομμυρίων κωδικών που είχαν διαρρεύσει τον Νοέμβριο 2025.

Συχνά μοτίβα (patterns) μέσα στους κωδικούς

Η Specops δίνει επίσης ενδιαφέροντα ευρήματα, όπως πολύ συχνά μοτίβα χαρακτήρων. Πάρα πολλοί κωδικοί περιέχουν όρους όπως:

  • admin
  • guest
  • hello
  • qwerty
  • secret
  • welcome
  • student
  • password

Επίσης συναντώνται συχνά τα pakistanzxcvbnm και azerty, παρότι το τελευταίο (διάταξη πληκτρολογίου AZERTY) πιθανότατα είναι λιγότερο συνηθισμένο για έλληνες και κύπριους χρήστες.

Οι περισσότεροι κωδικοί έχουν 8 χαρακτήρες

Πολλοί χρήστες συνδυάζουν ονόματα ή κοινές λέξεις με ένα σύμβολο και/ή απλές αριθμητικές ακολουθίες. Στο σύνολο δεδομένων εμφανίστηκαν πολύ συχνά κωδικοί όπως:

  • Pakistan@123
  • Pakistan123
  • India@123
  • Kumar@123
  • Rahul@123
  • hola1234

Όσον αφορά τα πιο συχνά μήκη κωδικών, τα 8 χαρακτήρια βρίσκονται στην κορυφή: 1,077 δισ. κωδικοί είχαν ακριβώς αυτό το μήκος. Ακολούθησαν:

  • 10 χαρακτήρες: 926 εκατ.
  • 9 χαρακτήρες: 882 εκατ.
  • 11 χαρακτήρες: 673 εκατ.
  • 12 χαρακτήρες: 540 εκατ.

Σε σύγκριση, κωδικοί με 6 χαρακτήρες (240 εκατ.) ή 7 χαρακτήρες (153 εκατ.) ήταν λιγότερο συχνοί.

Infostealer malware: βασική πηγή κλεμμένων διαπιστευτηρίων

Η έκθεση της Specops παραθέτει επιπλέον δεδομένα, όπως τα Top 3 leaked passwords ανά μήκος. Παράλληλα, οι ερευνητές αναφέρονται και στο θέμα των infostealer malwares — μία από τις βασικές πηγές κλεμμένων credentials.

Σύμφωνα με την έκθεση, το LummaC2 φέρεται να ευθύνεται για τον μεγαλύτερο αριθμό κλεμμένων κωδικών, και ακολουθούν τα:

  • Redline
  • Vidar
  • StealC
  • Raccoon

Συστάσεις για χρήστες και διαχειριστές (admins)

Όπως και στην προηγούμενη έρευνα της Comparitech, δεν είναι ξεκάθαρο σε τι ακριβώς χρησιμοποιούνταν οι κωδικοί που διέρρευσαν.

Μερικοί πιθανότατα σχετίζονται με δοκιμαστικούς λογαριασμούς, όπου μια παραβίαση μπορεί να είναι σχετικά «ακίνδυνη».

Ωστόσο, επανειλημμένα έχουν καταγραφεί περιστατικά όπου κρίσιμα συστήματα παραβιάστηκαν λόγω υπερβολικά απλών κωδικών.

Ειδικά σε λογαριασμούς όπου μπορεί να προκληθεί πραγματική ζημιά, οι χρήστες θα πρέπει να:

  • χρησιμοποιούν σύνθετους κωδικούς 12+ χαρακτήρων
  • ορίζουν διαφορετικό κωδικό για κάθε υπηρεσία
  • ενεργοποιούν όπου γίνεται έλεγχο ταυτότητας δύο παραγόντων (2FA)
  • χρησιμοποιούν password manager για δημιουργία και διαχείριση κωδικών

Στο τέλος της έκθεσης της Specops, οι διαχειριστές βρίσκουν και προτεινόμενα μέτρα για τον περιορισμό του ρίσκου leaked passwords σε IT περιβάλλοντα, όπως:

  • εφαρμογή ασφαλών ροών επαναφοράς κωδικού (password reset workflows)
  • μπλοκάρισμα κωδικών που υπάρχουν ήδη σε γνωστά leaks ή έχουν εύκολα προβλέψιμη δομή

Γιατί οι «δημοφιλείς» κωδικοί είναι τόσο επικίνδυνοι

Οι κωδικοί όπως 123456password ή admin δεν είναι απλώς «αδύναμοι» — είναι οι πρώτοι που δοκιμάζουν αυτοματοποιημένα εργαλεία επίθεσης. Στην πράξη, οι επιτιθέμενοι δεν χρειάζεται να κάνουν περίπλοκο cracking: συχνά αρκεί ένα dictionary attack με τις πιο κοινές επιλογές ή ένα «λεξικό» από κωδικούς που έχουν ήδη διαρρεύσει.

Credential stuffing: το μεγαλύτερο πρόβλημα όταν επαναχρησιμοποιείτε κωδικούς

Ακόμη κι αν ο κωδικός σας δεν είναι υπερβολικά απλός, η επαναχρησιμοποίηση είναι αυτή που μετατρέπει μια διαρροή σε αλυσιδωτή παραβίαση.

Με το credential stuffing, οι δράστες παίρνουν email/username + κωδικούς από ένα leak και τα δοκιμάζουν μαζικά σε:

  • webmail
  • social media
  • e-banking
  • ηλεκτρονικά καταστήματα
  • εταιρικά VPN/SSO

Αν ο ίδιος κωδικός χρησιμοποιείται σε πάνω από μία υπηρεσία, τότε ένα «μικρό» περιστατικό μπορεί να εξελιχθεί σε σοβαρή κλοπή λογαριασμού.

Μήκος vs «πολυπλοκότητα»: τι έχει μεγαλύτερη αξία

Η έρευνα δείχνει ότι οι περισσότεροι κωδικοί έχουν 8 χαρακτήρες, κάτι που ιστορικά ήταν «η ελάχιστη απαίτηση» σε πολλά συστήματα. Σήμερα όμως, το ασφαλέστερο μοτίβο είναι:

  • μεγαλύτερο μήκος (ιδανικά 12–16+ χαρακτήρες)
  • μοναδικότητα ανά υπηρεσία
  • αποφυγή λέξεων που μαντεύονται (όνομα, ομάδα, πόλη, εταιρεία, μήνας/έτος)

Μια πρακτική λύση είναι οι passphrases (φράσεις-κλειδιά), π.χ. 4–5 άσχετες λέξεις με διαχωριστικά. Είναι πιο εύκολες στη μνήμη και συνήθως πολύ πιο ανθεκτικές από ένα σύντομο «περίπλοκο» password.

2FA/MFA: ποια επιλογή να προτιμήσετε

Το 2FA μειώνει θεαματικά τον κίνδυνο κατάληψης λογαριασμού, όμως δεν είναι όλα τα 2FA ισοδύναμα:

  • Καλό: εφαρμογή authenticator (TOTP), push prompts με αριθμό, hardware security keys (FIDO2/WebAuthn)
  • Λιγότερο ασφαλές: SMS (μπορεί να γίνει SIM swap ή υποκλοπή)

Για κρίσιμους λογαριασμούς (email, Apple/Google/Microsoft ID, τράπεζες), προτιμήστε authenticator ή security key.

Infostealers: πώς κλέβουν κωδικούς στην πράξη

Τα infostealer malwares (όπως αυτά που αναφέρθηκαν) συχνά μολύνουν συσκευές μέσω:

  • «σπασμένων» προγραμμάτων/cracks
  • μολυσμένων συνημμένων email
  • ψεύτικων ενημερώσεων browser
  • κακόβουλων διαφημίσεων (malvertising)

Μπορούν να κλέψουν αποθηκευμένους κωδικούς browser, session cookies και tokens, παρακάμπτοντας σε ορισμένες περιπτώσεις ακόμη και 2FA. Άμυνα:

  • ενημερώσεις λειτουργικού/λογισμικού
  • antivirus/EDR όπου είναι εφικτό
  • αποφυγή εγκατάστασης άγνωστων εκτελέσιμων
  • περιορισμός αποθήκευσης κωδικών στον browser (ή προστασία με ισχυρό master password και κλείδωμα)

Τι να κάνουν οι admins σε οργανισμούς (πέρα από «βάλε 12 χαρακτήρες»)

Σε εταιρικό περιβάλλον, αποδίδουν ιδιαίτερα τα παρακάτω:

  • Blocked password lists (από γνωστά leaks + συνηθισμένα μοτίβα)
  • Rate limiting και έξυπνα lockouts για να μειωθεί το online guessing
  • MFA παντού (ιδίως σε VPN, email, admin panels)
  • FIDO2/WebAuthn όπου γίνεται, ως βήμα προς passwordless
  • εκπαίδευση χρηστών για phishing (συχνά ο πραγματικός «δούρειος ίππος»)
  • monitoring για ύποπτες συνδέσεις (ασυνήθιστες χώρες/συσκευές/ώρες)

Γρήγορος έλεγχος: 5 κανόνες για ασφαλέστερους κωδικούς

  • Χρησιμοποιήστε password manager για μοναδικούς κωδικούς παντού.
  • Στοχεύστε σε 12–16+ χαρακτήρες (ή passphrase).
  • Μην βάζετε λέξεις-κλειδιά όπως admin/welcome/qwerty/όνομα+123.
  • Ενεργοποιήστε MFA σε email και βασικούς λογαριασμούς πρώτα.
  • Αν υποψιάζεστε διαρροή: αλλάξτε άμεσα κωδικό, κλείστε ενεργές συνεδρίες, ελέγξτε ρυθμίσεις ανάκτησης (recovery email/phone).
Προηγούμενο άρθρο
Από τα WC στα chips για την AI: Η Toto απογειώνεται στο χρηματιστήριο χάρη στους ημιαγωγούς
Επόμενο άρθρο
Η Amazon αιτιολογεί τις απολύσεις με βάση την εταιρική κουλτούρα
Στέλιος Θεοδωρίδης
Στέλιος Θεοδωρίδης
Ο ήρωας μου είναι ο γάτος μου ο Τσάρλι και ακροάζομαι μόνο Psychedelic Trance
RELATED ARTICLES

Πρόσφατα άρθρα

Φόρτωση περισσοτέρων

Tηλέφωνα έκτακτης ανάγκης

Δίωξη Ηλεκτρονικού Εγκλήματος: 11188
Ελληνική Αστυνομία: 100
Χαμόγελο του Παιδιού: 210 3306140
Πυροσβεστική Υπηρεσία: 199
ΕΚΑΒ 166