SplashData, en leverandør av sikkerhetsprogramvare, siden 2011 kommet med en liste over de vanligste passordene. Dette er gjort ved å analysere 3,3 millioner passord som ble avslørt gjennom de mange lekkasjene av innloggingsinformasjon som skjedde i 2014. I undersøkelsen har selskapet konsentrert seg om passord som antas å tilhøre brukere i Nord-Amerika og Vest-Europa, selv om også russiske brukere ble sterkt ramme av slike lekkasjer i fjor.

De to mest brukte passordene er de samme som har toppet listene helt siden 2011. Mange mener tydeligvis at passordet 123456 er komplisert nok til at andre ikke vil kunne gjette det. I praksis er det kanskje noe av det første uvedkommende vil teste dersom de forsøker å få tilgang til kontoen. I alle fall når man vet at så mange bruker nettopp dette passordet.

Passordet password, som ligger på andre plass, er ikke særlig mye bedre.

Mange ser nå ut til å mene av passordet 123456 er litt vel vanskelig å huske eller å skrive inn. Derfor har passordet 12345 klatret 17 plasser det siste året, til tredje plass.

Helt nye passord på topp 25-listen er 696969 og batman.

Enkle mønstre
– Passord som er basert på enkle mønstre på tastaturet forblir populære uavhengig av hvor svake de er, sier Morgan Slain, administrerende direktør i SplashData, i en pressemelding.

– Alle passord som bare består av sifre, bør unngås, spesielt dersom de er i rekkefølge. Etter hvert som nettsteder krever sterkere passord eller kombinasjoner av bokstaver og sifre, er lengre tastatur-mønstre i ferd med å bli vanlige passord, og de er fortsatt ikke sikre, sier Slain.

Eksempler på slike passord er qwertyuiop, den øverste raden med bokstaver på tastaturet, eller 1qaz2wsx, de to første kolonnene med siffer- og bokstavtaster til venstre på tastaturet.

Man verken bruke favorittidretten, favorittlaget eller fødselsåret i passord. Heller ikke navn på barna. Det er mange eksempler på dette blant de hundre mest brukte passordene. Det samme er også navn på hobbyer, kjendiser, filmer og biler, i tillegg til banneord.

SplashData har i år samarbeidet med forskeren Mark Burnett om listen.

– Den dårlige nyheten fra forskningen min er at fjorårets vanligste passord er temmelig sammenfallende med tidligere år. Den gode nyheten er at det ser ut til at flere er i ferd med å bevege seg vekk fra disse passordene. I listen for 2014 representerer de 25 vanligste passordene omtrent 2,2 prosent av passordene som har blitt avslørt. Selv om dette fortsatt er skremmende, er det den laveste andelen jeg ser sett i nyere undersøkelser, sier Burnett.

SplashData kommer med en del generelle råd om passordsikkerhet. For det første bør passord består av minst åtte tegn av ulike typer, både små og store bokstaver, sifre og gjerne også spesialtegn. Man bør unngå å bruke samme brukernavn og passord på tvers av flere tjenester. Det aller beste, ifølge SplashData, er å benytte et passordverktøy som både genererer vilkårlige passord og sørger for at brukeren automatisk logges inn på webtjenestene de tilhører. Ikke overraskende er det nettopp et slikt produkt SplashData tilbyr. Men det finnes også mange alternativer.

Totrinns innlogging
SplashData nevner det ikke, men generelt bør man også benytte totrinnsautentisering ved innlogging på tjenester som tilbyr dette. Dette innebærer at det ikke er tilstrekkelig å ha brukernavnet og passordet. I tillegg trenger man for eksempel et engangspassord. De aller fleste nettbanker og offentlige nettjenester har i dag totrinnsautentisering, enten med BankID eller andre løsninger. Men også mange andre tjenester støtter noe tilsvarende. Men stort sett må brukeren selv be om at det aktiveres.

Også i slike tilfeller er det viktig å benytte et passord som andre, inkludert datamaskiner, ikke enkelt kan gjette. Men med én eller flere ekstra sikkerhetsfaktorer er inntrengeren også nødt til å få tak i noe bruken har, for eksempel mobiltelefonen eller en kodebrikke, for å kunne logge seg på.

Man bør heller ikke avsløre passordet for andre, og i alle fall ikke på tv, slik som i opptaket nedenfor.