Múltiples informes basados en datos de la web oscura enumeran «password», «admin», «123456» y otras más como algunas de las contraseñas más comunes obtenidas por los hackers.
Si pensabas que la mayoría de la gente ya habría aprendido a no utilizar «password» como contraseña para sus sistemas sensibles, entonces estarías dando demasiado crédito al público general que se desplaza.
Investigadores de ciberseguridad de Cybernews y de la empresa de gestión de contraseñas NordPass informaron esta semana de forma independiente sobre los datos relativos a las contraseñas más utilizadas.
Tratar de discernir las palabras, frases y números más utilizados entre el público en general no sería sencillo si no fuera por los montones de contraseñas filtradas que se venden en la web oscura.
En un comunicado enviado a Gizmodo, Cybernews dijo que basó sus datos en una lista de 56 millones de contraseñas violadas o filtradas en 2022 encontradas a través de bases de datos de la darknet y foros de hackers de clearnet.
Algunas de las contraseñas más utilizadas eran exactamente lo que se esperaba, contraseñas basura fáciles de recordar para las cuentas de empresa, incluyendo «123456», «root» y «guest», todas ellas en los tres primeros puestos.
NordPass, por otro lado, enumeró sus principales contraseñas por país y el supuesto género del usuario.
En su caso, «password» se situó en el puesto número uno de las contraseñas más utilizadas en todo el mundo.
Algunos países tenían contraseñas muy específicas que se utilizaban habitualmente, como «liverpool», que era la contraseña número 4 más utilizada en el Reino Unido a pesar de ser el número 197 del mundo.
La contraseña número 2 más utilizada para las cuentas de Brasil es «Brasil», mientras que en Alemania, la número 5 es «hallo».
En un correo electrónico a Gizmodo, NordPass dijo que la lista de contraseñas fue construida por un equipo de investigadores independientes que recopilaron 3TB de datos de listados en la web oscura, incluyendo algunos datos que se filtraron en violaciones de datos que ocurrieron en 2022.
La compañía señaló que algunos datos podrían ser de finales de 2021, aunque las contraseñas fueron listadas en la web oscura en el nuevo año.
Aparte de eso, las contraseñas se clasificaron simplemente por la frecuencia con la que se utilizaron en estos listados.
NordPass observó que muchas contraseñas eran de una sola palabra, que es uno de los tipos de contraseñas más fáciles de descifrar, y para alguien con un conocimiento de las contraseñas comunes, puede que ni siquiera requiera fuerza bruta u otros trucos de descifrado.
En algunas contraseñas aparecían incluso nombres de empresas, lo que puede apuntar a que los profanos toman el nombre de su dispositivo, o a que las propias empresas utilizan prácticas de seguridad de contraseñas poco estrictas.
La investigación de Cybernews también señaló que casi el 25% de las contraseñas encontradas sólo utilizaban ocho caracteres. Alrededor del 16% utilizaba sólo cuatro.
Cualquier contraseña nueva que cree un usuario debe ser mucho más larga que una palabra -al menos 12 caracteres-, debe utilizar letras mayúsculas y minúsculas, números y símbolos, y debe evitar cualquiera de las palabras comunes o frases simples.
Cybernews observó que sólo algo más de la mitad de las contraseñas que el equipo examinó eran palabras sencillas y únicas, a menudo asociadas a grandes marcas o equipos.
Aunque la mayoría de las contraseñas son «hash», es decir, están codificadas mediante algoritmos para que nadie pueda acceder al sistema, el problema es que los delincuentes pueden entender cómo se codifica una contraseña de uso común, lo que hace que sea mucho más fácil de descifrar.