במחקר שביצעו cybernews.com נמצא כי למרות כל האזהרות, מספרים גבוהים להחריד של אנשים עדיין משתמשים בסיסמאות שניתן לנחש בקלות כגון קללות, שמות של מפורסמים, שמות ערים, חיות או רצפי מקלדת – כאשר מחצית מהסיסמאות שנצפו מורכבת ממילה אחת בלבד. נראה שמשתמשים עדיין לא משוכנעים שסיסמה טובה היא בעצם סיסמה שלא ניתן לזכור ו- "123456" עדיין פופולרית, כאשר 2022 אינה יוצאת דופן עבורה: לאחר בחינת 56 מיליון סיסמאות שנפרצו ודלפו בשנת 2022, גילה צוות המחקר של Cybernews שהסיסמה "123456" הייתה בשימוש ב- 111,417 מקרים.
למרבה הדאגה, סיסמאות ברירת המחדל המשמשות עובדים עם הרשאות גישה למערכת עדיין נשארות קלות מדי לניחוש על ידי האקרים. Cybernews מצאה 16,981 מופעים של הסיסמה admin, כאשר root ו- guest הגיעו למקום השני והשלישי עבור 20 הסיסמאות הגנריות המובילות. הצוות השתמש ברשימות מילים שונות כדי לחלץ את הנתונים (מבלי לזהות את האנשים שאליהם הם שייכים) וקיבץ אותן לפי הקטגוריות הבאות: סיסמאות מובילות בסך הכל, שמות של אנשים מפורסמים, קללות, חיות, ערים, מדינות ויבשות, קבוצות ספורט, מוצרי מזון ושתיה, עונות, חודשים וימים. הצוות בדק מסדי נתונים שנמצאו בפורומים של האקרים של ברשת האפלה וברשת האינטרנט. רוב הסיסמאות שנחקרו נמצאו במצב מגובב. חשוב להבין כי למרות שאלגוריתמי גיבוב חלשים כמו MD5 הידוע לשמצה אשר נמצא כבלתי מתאים לשימוש כבר ב- 2008, עדיין נמצא גם כיום כאשם בפריצה לסיסמאות והדלפתן. הבעיה בגיבוב סיסמאות נוצרת מכיוון שבניגוד להצפנה, הגיבוב משיג את אותה תוצאה עבור אותה מילה (מחרוזת) – כך, למשל antena, סיסמה פופולרית נוספת שהודגשה על ידי צוות Cybernews, תועבר כמעט תמיד לאותו פלט על ידי אותו אלגוריתם. חולשה זו מאפשרת לפושעי סייבר להכיר את הגרסאות המגובבות של סיסמאות נפוצות, מה שמאפשר להם לבצע מתקפות Brute Force שבאמצעותן הם משתמשים ביעילות בניחושים מושכלים כדי לפרוץ מערכות שאינן מספקות אבטחה חזקה. במקרה של סיסמאות ברירת המחדל שנחשפו על ידי צוות המחקר, האקר ערמומי מעט לא יצטרך אפילו להשתמש בטכניקות של Brute Force – אדמין הוא ניחוש ראשון ברור למדי להבנת הסיסמה של מנהל מערכת.
העובדה שמשתמשי מחשבים עסקיים ומחשבים אישיים עדיין בוחרים בשילובים פשטניים כאלו, פירושה שמספר עצום של אזהרות סיסמה חלשה מאנשי אבטחת סייבר, עדיין לא נענו על ידי רבים. אבל כדי להבין את עומק הבעיה, יש לבחון את השגיאות הנפוצות שנעשות על ידי משתמשים ביתר פירוט. משתמשים ממשיכים לאהוב מילות קללות ושמות של דמויות מפורסמות: ב- 292,869 מקרים, המילה ass הגיעה למקום העליון של ניבולי פה, בעוד ש- king העדינה יותר (70,666 מקרים) עמדה בראש הרשימה של דמויות ידועות (בהתייחסות להכתרתו של מלך בריטניה וצפון אירלנד צ'ארלס השלישי). סיסמאות קללות פופולריות אחרות היו fuck (79,564) ו- shit (36,388). הקללה cunt האימתנית נעדרה מרשימת 20 הסיסמאות המובילות שנמצאה על ידי Cybernews. שחקני כדורגל מפורסמים הופיעו ברשימת 50 הסיסמאות המובילות של סיסמאות הקשורות לידוענים, כאשר messi (4,137) ו- ronaldo (4,749) נהנו משימוש נרחב, בעוד שדמויות עולם הפופ התגלו גם הן פופולריות – gaga נמצאה 5,842 פעמים ו- eminem צבר 3,948 מופעים. שם המשפחה של נשיא ארה"ב לשעבר דונלד טראמפ הגיע למקום האחרון ברשימה (במקום החמישים, עם 2,159 מופעים), לעומת המקום השני אליו הגיעה הסיסמא kennedy (2,240).
צוות Cybernews מדגיש שסיסמה חזקה חייבת לא רק להכיל שם או מילה שאינם נפוצים, אלא מגוון תווים המגבירים את האנטרופיה (מידת האי־סדר של המערכת / מידת האקראיות בה) של הסיסמא המגדילים באופן משמעותי את הקושי לפצח אותה. "מורכבות שווה לאנטרופיה, או כמה מידע מאוחסן בסיסמה נתונה", אמר ראש צוות המחקר של Cybernews. "יותר אנטרופיה פירושה שהנתונים כאוטיים יותר והכאוס הוא טוב – זו הסיבה שחשוב ליצור סיסמאות באופן אקראי, כי הן מכילות אנטרופיה גבוהה ועמידות יותר בפני מתקפות Brute Force". הוא הוסיף: "ברוב ההדלפות, כמעט תמיד מעורבת סיסמה מגובבת וסביר פחות שהאקרים ברמה נמוכה יוכלו לנטרל סיסמה מורכבת, כלומר אחת עם אנטרופיה גבוהה ואז להשתמש בה כדי לסכן חשבונות אחרים". ממצאי צוות המחקר מלמדים כי רק 1% מהסיסמאות שנצפו תואמות לכל הקריטריונים המומלצים – שילוב אותיות גדולות עם אותיות קטנות, מספרים וסמלים מיוחדים כמו סימן $. כמו כן, רק 4% מהסיסמאות שנצפו על ידי Cybernews השתמשו בלפחות 12 תווים, מספרים וסמלים, כפי שהומלץ על ידי תעשיית אבטחת המידע. באופן מזעזע, 15% השתמשו רק בארבעה תוים, אם כי קצת פחות ממחציתם (48%) היו באורך של בין שמונה ל- 11 תוים. יש לציין כי כל סוג של אורך סיסמה לא יועיל למשתמשים במונחים של אבטחת סייבר אם הם משתמשים רק באותיות קטנות או במספרים – מה שנצפה ב- 22% מהמקרים. השילוב הנפוץ ביותר היה שילוב של אותיות קטנות ומספרים, הידוע כשילוב אלפא-נומרי (38%) – שוב, לא מספיק קרוב למצב המורכבות הדרוש כדי להיחשב בטוח ממתקפות Brute Force ומתקפות סיסמאות אחרות.
חשוב מאד שמשתמשים לא יסתמכו רק על מפתחי תוכנה כדי להגן על האישורים והנתונים האישיים שלהם ויאמצו הרגלי בטיחות באינטרנט, החל מיצירת סיסמאות חזקה ומודעות לאבטחת סייבר. בשל שירותים רבים המקושרים זה לזה, אפילו סיסמה אחת שדלפה עלולה להוביל לאפשרויות פריצה רבות, נזקים פוטנציאליים ושחזור נתונים הגוזל זמן ומשאבים נוספים. כדי לשמור על אבטחת סיסמאות, כולן צריכות להיות ייחודיות באופן המקשה פיצוח. זו הסיבה שמומלץ מאד לעבוד עם מנהל סיסמאות המאפשר באמצעות מחולל סיסמאות ליצור שילובים מורכבים או אנטרופיים מאוד שאין צורך לזכור, היות ומנהל סיסמאות טוב גם יודע לשמור שמות משתמשים וסיסמאות ולהשתמש בהן באתרים המתאימים. כל מה שמנהל סיסמאות דורש הינו הגדרת סיסמת אב אחת (אותה יש לזכור) כדי שניתן יהיה להשתמש בה כדי לגשת לאפליקציית הניהול.
