Foto: Shutterstock
STRUČNJAK za sigurnost Mark Burnett objavio je 10 milijuna lozinki i pripadajućih korisničkih imena.
U pitanju je njegov doprinos drugim istraživanjima, ali ujedno i riskantan potez s obzirom na to da su hakerske aktivnosti trenutno pod budnom prismotrom u Americi.
Obično se lozinke istraživačima objavljuju same, ali to onemogućava analiziranje u kakvom su odnosu lozinka i korisničko ime. Burnett objasnio da je želio "pružiti svijetu čistu bazu podataka" već neko vrijeme u ovom obliku, budući da to "pruža veći uvid u ponašanje korisnika i iznimno je vrijedno u daljnjem istraživanju sigurnosti lozinki".
Prije nego što se uzrujate, Burnett tvrdi da su redom u pitanju lozinke koje se više ne koriste i već su bile dostupne na stranicama kao što su haveibeenpwned.com ili pwndlist.com, a on ih je sve spakirao u jedan dostupan paket. Osim toga, s korisničkih imena emailova uklonio je pripadajuće domene. Također, u svojoj objavi u kojoj objašnjava što je i zašto napravio, napominje da, ako vaše lozinke nisu na njegovom popisu, to ionako ne znači da su inače sigurne te potiče ljude da sami provjere na spomenutim stranicama nalazi li se tamo neka koju još uvijek možda koriste.
"Mislim da je potpuno apsurdno da moram sad pisati čitav članak kojim opravdavam objavljivanje ovih podataka iz straha od uhićenja ili pravnih zavrzlama. Htio sam napisati članak o samim podacima, ali to ću morati napraviti kasnije, budući da moram pisati ovu glupost pokušavajući uvjeriti FBI da me ne uhite", napisao je.
A potom objašnjava i zašto ne bi trebao završiti iza rešetaka:
"Iako istraživači obično objavljuju samo lozinke, ja objavljujem i lozinke i korisnička imena. Analiza korisničkih imena i pridruženih lozinki nalazi se u području koje je opasno zanemareno i može nam pružiti nove uvide.
Moja namjera nije prevariti, omogućiti nekome neautorizirani pristup, ukrasti nekome identitet, pomagati u bilo kakvom zločinu ili naštetiti osobi ili ustanovi. Namjera je omogućiti daljnja istraživanja s ciljem povećanja sigurnosti i samim time zaštitom od prevare i neautoriziranog pristupa.
Nadalje, vjerujem da su ovo mrtve lozinke, koje ne mogu poslužiti kao provjera autentičnosti jer vam mrtve lozinke neće dozvoliti da dokažete autentičnost. Mogućnost da je informacija kojom bi se potvrdila autentičnost još uvijek važeća vrlo je mala, dakle ovi podaci su većinom beskorisni za korištenje u ilegalne svrhe.
Dakle, prema mojim informacijama ove lozinke nisu važeće i poduzeo sam sve potrebne mjere da se osiguram da su ovi podaci neučinkoviti u oštećivanju konkretnih korisnika ili organizacija. Ovi podaci iznimno su vrijedni za akademske i istraživačke svrhe za unaprjeđivanje sigurnosti i zato sam ih objavio".
Nakon čitave ove strke Burnett je za PopSci dao i neke savjete oko loših i dobrih lozinki: da biste povećali sigurnost računa koristite barem 10 znakova i izbjegavajte prave riječi. Iako niti to ne jamči potpunu sigurnost: "Sposobnost probijanja lozinki postala je iznimno velika. Postoje načini da se lozinke ojačaju, kao što je primjerice dokazivanje autentičnosti u dva koraka, ali same po sebi lozinke su pri kraju svoje učinkovitosti", poručio je.