ในความคิดของคนทั่วไปคงคิดว่า “แฮ็คเกอร์จะต้องเป็นพวกที่เก่งคอมพิวเตอร์ขั้นเทพ เจาะรหัสผ่านคนอื่นได้ แต่ของตัวเองต้องไม่โดนเจาะ ดังนั้นรหัสผ่านของพวกแฮ็คเกอร์เนี่ย คงต้องเป็นอะไรที่แบบ .. อลังการงานสร้างสุดๆ มีทั้งตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษแน่ๆ .. อืม ต้องประมาณ t3¢hT@|k¶HA! อะไรแบบนี้แน่เลย” … ถ้าคุณกำลังคิดแบบนี้อยู่ คุณคิดผิดซะแล้ววว

เมื่อสัปดาห์ที่ผ่านมา เกือบ 2,000 รหัสผ่านของแฮ็คเกอร์ได้รั่วไหลออกมา โดย Antonín Hýža จาก Avast! ได้พยายามติดตามข้อมูลรหัสผ่านของแฮ็คเกอร์มานานนับปี โดยเริ่มจาก 40,000 ตัวอย่างของ Avast! Virus Lab ที่ได้มาจากการทำ backdoor, bot และ shell เธอพบว่า เกือบ 2,000 รหัสผ่านมีเอกลักษณ์เฉพาะ โดย 1,255 รหัสผ่านเป็นข้อความเปล่าๆ (plain text), 346 รหัสผ่านง่ายต่อการแคร็กโดยใช้ MD5 Hash เนื่องจากมันยาวน้อยกว่า 9 ตัวอักษร ทำให้เธอได้ 1,601 รหัสผ่าน และอีก 300 hashes มาวิเคราะห์ ซึ่งเธอได้ให้รายละเอียดใน Avast! Blog ดังนี้
- 58% ของรหัสผ่านประกอบด้วยตัวอักษร a-z ตัวเล็กอย่างเดียว โดยตัวอักษรที่ใช้บ่อยที่สุด คือ a และที่ไม่ค่อยพบ คือ f, j, v, w,y, z
- มี 20% ของแฮ็คเกอร์เท่านั้นที่ใช้ตัวอักษรปกติผสมกับตัวเลข
- ตัวอักษรตัวใหญ่เป็นอะไรที่หายากมาก ถ้าเจอก็จะเป็นแบบ เริ่มต้นด้วยตัวอักษรตัวใหญ่ตัวเดียว หรือไม่ก็เป็นตัวอักษรตัวใหญ่ทั้งหมดไปเลย
- มีเพียง 6 % ของรหัสผ่านที่ใช้อักขระพิเศษ และไม่พบการใช้ , = ~ | [ ] เลย
- 2% ของแฮ็คเกอร์ที่ใช้รหัสผ่านแบบที่แฮ็คเกอร์สมควรจะใช้ คือ ประกอบด้วยอักษรปกติ, ตัวพิมพ์ใหญ่ และตัวเลข
- 30% ของรหัสผ่านประกอบด้วยตัวเลข ซึ่งเลข 1 คือเลขที่ใช้บ่อยที่สุด
- ความยาวรหัสผ่านของแฮ็คเกอร์ส่วนใหญ่อยู่ที่ 6 ตัวอักษร และมีเพียง 52 รหัสผ่านเท่านั้นที่ยาวเกินกว่า 12 ตัวอักษร
นอกจากนี้ เธอค้นพบว่า มีเพียง 10% เท่านั้นที่ยากต่อการเดาหรือแคร็ก และบางรหัสผ่านก็เป็นคำภาษาอังกฤษทั่วไปแต่อยู่ในรูป Leet Speak เช่น P@5$W0rD5, p455\/\/0RD, P@$$VV0Rd



จากสถิติและการวิเคราะห์ที่เธอค้นพบ สรุปได้ว่า รหัสผ่านส่วนใหญ่ของแฮ็คเกอร์มักจะอยู่ในรูปตักอักษรปกติปนกับตัวเลข ความยาวประมาณ 6 ตัวอักษร และมักจะมาจากคำภาษาอังกฤษ ซึ่งไม่ได้อยากอย่างที่คนส่วนใหญ่คิด เผลอๆคนทั่วไปจะใช้รหัสยุ่งยากซับซ้อนกว่าแฮ็คเกอร์ด้วยซ้ำไป
ที่มา: https://blog.avast.com/2014/06/09/are-hackers-passwords-stronger-than-regular-passwords/