Podle Jekatěriny Kiljuševové, vedoucí výzkumné skupiny analytického oddělení informační bezpečnosti Positive Technologies, je používání jednoduchých hesel již mnoho let jedním z hlavních nedostatků ochrany. Při provádění interních pentestů (test na proniknutí do podnikové sítě) se podařilo v 96 % společností získat pověření uživatele a hlavními nevýhodami ochrany byla právě jednoduchá uživatelská hesla.

„Výsledky interních a externích penetračních testů provedených našimi odborníky v loňském roce ukázaly, že jedním z nejpopulárnějších bylo heslo formátu „Měsíc a rok“ v latinském rozvržení, například Ltrf, hm2019 nebo Fduecn2019. S takovými hesly jsme se setkali v každé třetí společnosti a v jedné organizaci byla zvolena pro více než 600 uživatelů,“ uvedla Kiljuševová.

Jevgenij Lifšic, ředitel Agentury kybernetické bezpečnosti a člen odborné rady Státní dumy pro informační politiku dodal, že pachatelé obvykle pracují metodou hrubé síly - nejprve pátrají ve standardních slovnících a slovnících nejpopulárnějších jednoduchých hesel a poté zkoušejí hesla sociálního inženýrství (např. příjmení, rok narození).

„Můžeme tedy dát jednoznačné doporučení nepoužívat standardní hesla a nepoužívat slabá hesla, která budou hledána v první řadě. Jedná se o posloupnosti čísel: 12345, data narození: 01.01.1990, telefonní čísla, jednoduchá slova typu password nebo qwerty,“ radí odborník.

Rizikem jsou také hesla ve formátu jméno + rok narození, jména blízkých lidí - taková data jsou snadno dostupná ve veřejné doméně, například na sociálních sítích, řekl Anton Ponomarjov, ředitel odboru podnikového prodeje společnosti ESET Russia.

„Hesla skládající se z náhodného souboru písmen, číslic a znaků jsou nejobtížnější, ale samozřejmě hodně záleží na jejich délce,“ dodal Ašot Oganesjan, zakladatel společnosti DeviceLock.