De Mest Brugte Passwords Globalt og I Danmark

Gry Myrtveit Gundersen
By: Gry Myrtveit Gundersen IT-sikkerhed | 15 september

Nordpass offentliggør hvert år en liste af de 200 mest brugte kodeord i verdenen, baseret på undersøgelser fra 50 forskellige lande. I dette blogindlæg præsenterer vi dette års resultater fra 2021 undersøgelsen og forklarer, hvordan hackere misbruger viden om, at mange mennesker gør brug af svage kodeord og/eller genbruger deres passwords på mange forskellige hjemmesider. Måske bliver disse passwords brugt af en medarbejder i din organisation? 

Her kan du læse om

De mest brugte passwords i verden 

Vi viser dig ikke bare de 200 mest brugte passwords og kalder det en dag. I stedet præsenterer vi dig for de 10 mest brugte passwords og giver dig en detaljeret oversigt over de generelle tendenser af den resterende liste. Hvis du er interesseret i hele listen, så kan du besøge NordPass – Hvor du også kan sammenligne passwords mellem lande og køn. 

Lad os komme i gang, her er de 10 mest brugte passwords i 2021: 

De 10 mest brugte passwords i verden 

Her er de 10 mest populære (og værste) passwords, som blev talt over 280 millioner gange tilsammen, under NordPass’ undersøgelse: 

  1. 123456 

  2. 123456789 

  3. 12345 

  4. qwerty 

  5. password 

  6. 12345678 

  7. 111111 

  8. 123123 

  9. 1234567890 

  10. 1234567 

De 10 passwords giver os en smag af, hvad resten af listen har tilbyde. Faktisk, så er to tredjedele af de 200 mest brugte password forskellige kombinationer af tal og bogstaver, som ligger lige ved siden af hinanden på tastaturet. Men, man skal dog ikke scrolle særlig langt ned på listen før man finder nogle kodeord, som måske vil overraske dig. 

Smart CTA_phishingcase DK

Generelle tendenser for de 200 mest brugte passwords 

Da vi analyserede listen, fandt vi nogle mønstre og temaer. Men der er dog et kodeord, som ikke matcher nogle af de andre temaer, men dog stadig er værd at nævne: “monkey”. Dette kodeord kan blive spottet på de fleste lister over de mest brugte kodeord, i løbet af de sidste par år. “monkey” rangerer overraskende højt på de fleste af dem. 

Bortset fra denne udstikker, så kan vi se, at de fleste resterende passwords er placeret i fire følgende grupper: 

Positivt ladede ord og sætninger 

Selvom der er nogle bandeord på listen, så er de i undertal ift. de positivt ladede ord og sætninger. Nogle af de mest populære er: 

  • iloveyou (22) 

  • princess (61) 

  • sunshine (65) 

  • love (117) 

  • iloveyou1 (122) 

  • freedom (156) 

  • chocolate (161) 

Fun fact! Når vi sammenligner mænd og kvinders kodeord, så kan vi se at listen med kvindernes kodeord indeholdt fem gange så mange af disse ord, end listen med mænds kodeord. 

Sportsrelaterede ord 

En anden tendens på listen er ord der er relateret til sport: 

  • football (60) 

  • baseball (91) 

  • soccer (95) 

  • jordan (110) 

  • liverpool (121) 

  • football1 (153) 

Vi bekræfter endnu en gang kønsstereotyper: Mænd har 14 af disse passwords på deres liste – Kvinder har kun 4. 

Fornavne 

... De mest brugte er: 

  • michael (66) 

  • daniel (69) 

  • ashley (88) 

  • charlie (96) 

  • jessica (99) 

Ord der er relateret til fiktionelle universer 

En sidste tendens på listen, er ord der er relateret til fiktionelle spil, tegnefilms- eller film universer. 

  • dragon (38) 

  • superman (81) 

  • pokemon (111) 

  • naruto (135) 

  • starwars (166) 

Mest brugte passwords i Danmark 

Las os nu se på, hvordan os danskere klarer det ift. passwordsikkerhed på global plan, ligner vores top-10-liste stort set det samme: 

  1. 123456 

  2. 123456789 

  3. 12345 

  4. 1234 

  5. 12345678 

  6. 123123 

  7. password 

  8. 1234567 

  9. 111111 

  10. qwerty 

Hvor det begynder at adskille sig, er når vi kommer længere ned på listen over de mest brugte kodeord. 

Navne 

Vi har især en kærlighed for at bruge navne som vores kodeord: 

  • oliver (17) 

  • frederik (18) 

  • rasmus (19) 

  • martin (23) 

  • anders (24) 

Om vi så har rigtig mange, Olivere, Frederikker, Rasmusser osv. I Danmark der indtaster deres eget navn det vides ikke, men det er populære kodeord, med Frederik, som det kodeord der tager længst tid at knække på 3 timer. På den danske liste finder vi også en gammel kending, “monkey”. “monkey” vender her stærkt tilbage på den danske 144 plads.  

Ord med hej 

På listen finder vi også en masse hej-relateret kodeord. 

  • hej123 (12) 

  • hejhej (13) 

  • hejmeddig (22) 

  • hejhej123 (81) 

  • hejsa (196) 

  • hejhejhej (198) 

Hvordan hackere misbruger svage passwords 

Brugen af svage passwords kan være en stor sikkerhedstrussel for både private individer og organisationer. Ifølge Verizons 2017 Data Breach Investigation Report, så er 81% af hacking-relaterede brud enten pga. stjålne eller svage passwords. To meget almindelig hacking teknikker som misbruger, at mange mennesker bruger svage passwords, er password spraying og credential stuffing 

Password spraying: 

En af de metoder, som hackerne bruger til at få uautoriseret adgang til kontoer og systemer er via password spraying. Grunden til dette slags angreb er så succesfuld er pga. mange mennesker bruger de her almindelige passwords, som er på listen. For at fuldføre et password spraying angreb, så skal hackerne have en liste over brugernavne (f.eks. E-mail adresser) og en liste over de mest brugte kodeord (f.eks. de passwords der er blevet nævnt tidligere i blogindlægget). Når de har disse, så prøver de et password (f.eks. qwerty) mod alle brugernavnene på listen, før de bevæger sig videre til næste password. Hvis hackerene prøvede for mange passwords mod en konto før de bevægede sig videre til næste konto, så ville de risikere at blive fanget og blive nægtet adgang til kontoen pga. for mange fejltagne loginforsøg. Hackerne undgår derfor at blive fanget ved at fokusere på et kodeord over en længere periode. 

Credential stuffing: 

En anden slags meget normal hacking teknik er credential stuffing. Ifølge LastPass’ Psychology of Passwords report fra 2021, så bruger 65% af mennesker altid og for det meste det samme password eller en variation af den. Det bliver misbrugt af hackere i et credential stuffing angreb. Før sådan et angreb udføres, så har hackerne fået adgang til et sæt af legitimationsoplysninger gennem f.eks. en databrud eller et phishingangreb. Disse legitimationer bliver så brugt til at få adgang til offerets kontoer. 

Eksempel på et credential stuffing angreb: 

Lad os forestille os, at en af dine medarbejdere er blevet offer for et phishingangreb, og at den IT-kriminelle bag angrebet nu har adgang til din medarbejders logininformation (brugernavn + password) til deres private e-mail konto. Nu har den kriminelle ikke kun adgang til den private konto – de kan også udføre et credential stuffing angreb ved at prøve brugernavnet og kodeords kombinationen på andre hjemmesider og systemer. Hvis din medarbejdere genbruger han/hendes password på tværs af disse hjemmesider, så kan den kriminelle måske få adgang til flere af dine medarbejdere kontoer. Dette kan udvikle sig til identitetstyveri og et større finansielt tab. Hvis din medarbejder bruger det samme password til både deres private og arbejdskonto, så kunne konsekvenserne være store for din virksomhed. 

Billede af Risiko-analyse skabelon

Hvordan du kan forbedre din passwordsikkerhed 

Hver dag logger vi ind på forskellige hjemmesider og tjenester, som kræver et kodeord. Over årene, så har vi måske oprettet flere passwords end vi kan huske. Det er derfor nemt at blive fristet af, at bruge simple kodeord og genbruge dem på tværs af kontoer. Faktisk så viser Lastpass’ rapport fra 2021, at 68% af mennesker der genbruger passwords, er fordi de er bange for at glemme dem. Men, som vi har set, så kan adfærd som dette være en stor risiko for dig og din organisation. Heldigvis så er der flere forskellige værktøjer og tips, som kan hjælpe dig med at forbedre din passwordsikkerhed! 

På vores blog, kan du læse om: 

Hvis du er interesseret i at forbedre passwordsikkerheden i din organisation, så burde du checke vores kursus om sikre passwords ud! 

Awareness-træning kan også være en fantastisk måde at få bedre password sikkerhed på, da det hjælper dine medarbejdere med at blive mere aware om deres opførsel, og er med til at skabe en god IT-sikkerhedskultur i din organisation.