Какие бывают пароли: rednyrg721 — LiveJournal
Вчера был небольшой шухер насчёт утечки логинов/паролей к vkontakte.ru (раз, два, три). Не припомню, чтобы такая здоровая база user-generated паролей уходила в открытый доступ (в файле порядка 50,5 тыс. уникальных пар логин/пароль), поэтому грех было бы не попытаться её проанализировать.Пароли, встречающиеся чаще 10 раз (всего 50530 пар логин/пароль):
123456 -> 165 (0.327%)
123456789 -> 97 (0.192%)
qwerty -> 94 (0.186%)
111111 -> 71 (0.141%)
123321 -> 45 (0.089%)
1234567890 -> 45 (0.089%)
666666 -> 44 (0.087%)
7777777 -> 43 (0.085%)
1234567 -> 41 (0.081%)
123123 -> 37 (0.073%)
000000 -> 34 (0.067%)
zxcvbnm -> 30 (0.059%)
qazwsxedc -> 28 (0.055%)
12345678 -> 28 (0.055%)
qwertyuiop -> 28 (0.055%)
любовь -> 27 (0.053%)
gfhjkm -> 25 (0.049%)
654321 -> 24 (0.047%)
1q2w3e4r -> 24 (0.047%)
555555 -> 24 (0.047%)
zxcvbn -> 20 (0.040%)
1q2w3e -> 20 (0.040%)
samsung -> 20 (0.040%)
987654321 -> 19 (0.038%)
12345 -> 18 (0.036%)
159753 -> 17 (0.034%)
777777 -> 16 (0.032%)
пароль -> 16 (0.032%)
asdfghjkl -> 16 (0.032%)
qazwsx -> 16 (0.032%)
123654 -> 15 (0.030%)
112233 -> 15 (0.030%)
5555555 -> 14 (0.028%)
qwertyuiop[] -> 14 (0.028%)
999999 -> 14 (0.028%)
andrey -> 13 (0.026%)
knopka -> 13 (0.026%)
йцукен -> 13 (0.026%)
k.,jdm -> 13 (0.026%)
fktrcfylh -> 13 (0.026%)
123 -> 12 (0.024%)
1234 -> 12 (0.024%)
159357 -> 12 (0.024%)
fyfcnfcbz -> 12 (0.024%)
88888888 -> 12 (0.024%)
1 -> 11 (0.022%)
natasha -> 11 (0.022%)
www123 -> 11 (0.022%)
222222 -> 11 (0.022%)
adidas -> 11 (0.022%)
малышка -> 11 (0.022%)
ненавижу -> 11 (0.022%)
1q2w3e4r5t -> 11 (0.022%)
spartak -> 11 (0.022%)
Такие вот пароли пользуют обычные юзеры 😉 Можно заметить, что первые шесть паролей составляют более 1% всех используемых. Среди уникальных паролей есть тоже различные перлы типа «Валера пидор ебаный» или «сперматоблядская», тут в комментах обсуждают различные находки 😉 Список паролей (без логинов) в порядке уменьшения частоты использования, сгенеренный моей супер прогой лол, выложил вот сюда: http://rapidshare.com/files/262091045/passw_stats.zip.
Ещё пара занимательных фактов из комментов на хабре:
Топ10 почтовых доменов:
26628 mail.ru
6297 rambler.ru
5830 yandex.ru
1680 ukr.net
1637 bk.ru
1359 list.ru
1278 inbox.ru
1030 gmail.com
911 bigmir.net
571 i.ua
Номер телефона («8» или «7» или «+7» и 10 цифр) использовался в качестве пароля 587 раз.
Какие бывают пароли
Надежные пароли на компьютер. Примеры от простого к сложному.
Думаю все понимают, что в наше время тяжело представить жизнь без компьютера. Именно он является одним из самых распространенных видов времяпрепровождения.
Пользуясь этим современным гаджетом мы не можем обойти системы безопасности, аутентификации.Регулярно сталкиваемся с потребностью создания надежного пароля для различных социальных сетей, приложений, интересных сайтах и т.д.
Какие пароли считаются надежными?
Начнем с того, что каждый человек всегда хочет создать такой пароль, чтобы он его потом легко запомнил, выучил или и вовсе знал всю свою жизнь. Это толкает нас на грубейшую ошибку в «мире интернета».
Ведь самым популярным способом «взлома» является подбор вашего пароля с помощью использования именно ваших же личных данных. Поверьте, злоумышленник имеющий перед собой цель, начнет просматривать ваши данные в интернете, скорее всего это будут страницы в одноклассниках, контакте, майле и прочих сторонних сервисах на которых можно узнать ваше имя, фамилию, дату рождения, имена ваших родителей ,сестер и братьев, любимых увлечений, животных и прочую информацию о вашей жизни.
После чего начнется подбор пароля методом брута — это обычный перебор всех возможных вариантов. Так называемый способ «грубой силы» или брутфорс (англ. bruteforce)
Самыми популярными паролями являются:
Как видите это логически подбираемые пароли, скажу больше это ну просто предел наивности. Я соглашусь со многими, кто использует такие пароли для разового входа на сайт чтобы скачать какой-то файл, информацию. Но когда речь идет о важных вам страницах в соц.сетях или доступах к онлайн банкам, кошелькам понадобится грамотный подход к выбору пароля.
Первые выводы о надежном пароле
- — нельзя составлять пароль из своих личных данных(имя, фамилия, дата и т.д.)
- — нельзя составлять пароль методом логического ввода.
- — Пароль «28061992» (дата рождения) будет подобран за 1-2 секунды;
- — Пароль «сергей» будет подобран за 4 секунды
Примеры: иванворонин; иваныч; 28061992; ванек1992; ваня280692;
Примеры: 12345; 987654321;йцукен; qwerty; фывапр; ячсмит; 123454321;000;111. (Обратите внимание, все эти пароли так или иначе упорядоченное нажатие клавиш друг за другом, поэтому подобрать их будет очень легко.)
А если данные пароли будут подбираться с помощью программ брута, которые обладают огромной пропускной способностью, ваши пароли будут подбираться примерно с такой скоростью:
Как видите это какие то мгновения и ваш пароль в «лапах» злоумышленника. Не смотря на все дальше нужно иметь понимание , что регистр при вводе паролей всегда учитывается, если совсем по простому то базы данных понимают когда вы вводите заглавную букву, а когда прописную.
Как создать надежный пароль!
Теперь к сути самой статьи, каким же нужно сделать пароль , чтобы его просто так не «увели»?
1;uRva3’ именно так должен выглядеть надежный пароль, который трудно подобрать брутом. Не забываем , что восемь символов это самое малое что нужно для защиты, чем длиннее будет ваш пароль тем тяжелее его будет подобрать во многих случаях подбор практически невозможен.
Попробуем сделать пароль из 10 символов ,но так чтобы вы смогли все таки его запомнить, итак что нам нужно будет придумать.
Начнем наглядно:
10 символов: 0000000000 (изначально начнем с нулей), дальше все во власти вашей фантазии, играйте символами знакомых вам комбинаций, но перебирайте их грамотно.
1 этап, (00000000) — ( мы заменили начало и конец пароля на спец символы — скобки , которые не сложно запомнить)
2 этап, (к0и0к0а0) – ( дальше я взял название деревни из моего детства «Кика» и написал его с интервалом в один символ)
3 этап, (К0и0К0а0) – ( на этом этапе я изменил две прописные буквы «к» на заглавные – это в разы усилило надежность пароля)
4 этап, (К1и9К6а1) – ( теперь я заменил нули на хорошо запоминающуюся мне дату 1961 )
Вроде бы нечего сложного, всего какие-то 4-ре последовательных действия и получился достаточно сложный пароль, который совсем не сложно запомнить, а подобрать методом брута очень тяжело.
Друзья, фантазируйте – грамотно.
Теперь вы знаете как сделать свои пароли надежными и не дать их подобрать взломщикам. Дальше рекомендую познакомится с антивирусами. Какой антивирус выбрать?
Если статья вам по душе, жду ваши комментарии, мысли и дополнения.
Самые сложные пароли
Практически каждый сайт требует регистрации пользователя. А значит, придется придумывать пароль. Использовать одинаковую комбинацию, даже самую сложную, на всех сайтах подряд не очень умно. Многие из небольших порталов хранят комбинации пользователей в незашифрованном виде, и они часто утекают в сеть. Разбираемся, как придумать и запомнить самый сложный и надежный пароль.
Рейтинг самых популярных комбинаций
В интернете давно существует рейтинги самых часто используемых комбинаций. По статистике, средняя его длина составляет от 6 до 8 символов.
На первом месте рейтинга — цифровые последовательности и первый ряд букв клавиатуры:
- 123456 и аналогичные.
- Qwerty.
- Password/пароль.
- Abc123.
- Superman, Sp1derm4n и прочие комбинации английских слов и цифр.
Рейтинг самых популярных комбинацийСочетания длиной менее 4 символов или цифр Взломать такие последовательности не составит труда. Самым простым способом получить доступ к аккаунту, является взлом методом грубого перебора (брутфорс).
Как взламывают пароли
Для брутфорса существуют программы, в которые загружается список популярных слов и комбинаций (словарь). Такой список можно найти в открытом доступе. Программа подставляет комбинации по очереди, в автоматическом режиме, пока не найдет рабочую последовательность.
Сколько займет подборка комбинации
Подборка пароля из 4 символов не представляет никаких сложностей для злоумышленника. В 2012 году, на конференции по кибербезопасности в Норвегии, была продемонстрирована система, способная подбирать 348 миллиардов хэшей в секунду!
Хэшем называют преобразование информации с помощью определенного алгоритма, что позволяет кодировать, хранить, а затем восстанавливать эту информацию.
Если для хранения кодового слова используются более сложные алгоритмы хэширования, например, комбинации md5, то последовательность из 6 символов (буквы разного регистра + цифры) можно подобрать за 95 минут (скорость около 10 миллионов последовательностей в минуту). А вот для того, чтобы подобрать пароль из 10 символов, потребуется уже более двух с половиной тысяч лет.
Такие значения достигаются в идеальных условиях: без ограничения по количеству попыток, и с максимальной скоростью обмена данными. В реальной ситуации взлом займет гораздо больше времени
Пароли длиной более 10 случайных символов редко взламывают, ведь для этого хакерам потребуется много времени и мощностей, а зачем прилагать такие усилия, если более 10% всех последовательностей – это вариации цифр 12345 и букв qwerty.
Как взламывают паролиКакие пароли ненадежные
Код, состоящий из букв в одном регистре, взломать крайне легко. Особенно, если это повсеместно используемые слова, названия книг, имена героев или событий.
Усложнения таких комбинаций с помощью дополнительных слов так же будет недостаточно: «Этомойпароль» или «этомойкрутойпароль» будут подобраны за одинаковое время.
Как происходит утечка комбинаций в сеть
В первую очередь взламываются малопопулярные сайты, без серьезной защиты. Хакеры выкладывают взломанные аккаунты в свободный доступ, чтобы внести все комбинации login+password в словари, используя их в соцсетях, платежных системах или почтовых сервисах.
Требования при регистрации
Времена, когда пользователю разрешалось придумать любой пароль при регистрации, прошли. Теперь от него требуют, чтобы код содержал, как минимум, одну заглавную букву, одну цифру и один спец символ. Многих это раздражает, но благодаря такому подходу удается сохранить аккаунты пользователей.
Правила создания паролей
- Не использовать одну и ту же связку на разных сайтах.
- Стараться не использовать одинаковые комбинации на разных сайтах.
- Самые сложные и стойкие комбинации должны использоваться для самых важных сайтов – платежных систем, почтовых аккаунтов, с помощью которых можно сбросить пароли к платежным системам и т.д.
- Использовать менеджер паролей.
Как придумать стойкий пароль
Очень сложным и самым лучшим считается пароль от 10-12 символов длиной, с использованием заглавных, прописных букв, цифр и спецсимволов:
- L2jh4d61e%Fh – пример сложного и стойкого пароля.
- Superman1 или ivanov007 – эти комбинации подбираются в первую очередь.
Совет
Не стоит использовать пароль, совпадающий с логином. Чтобы украсть аккаунт, такую связку даже не придется взламывать.
Придумать самый лучший и сложный пароль можно несколькими способами:
- Открыв текстовый редактор, стукнуть по клавишам вслепую. Получившуюся комбинацию можно подкорректировать – поменять прописные буквы на заглавные, добавить спец символы или цифры.
- При помощи password-генераторов . https://www.random.org/passwords.
- При помощи менеджеров паролей. В браузерах Opera, chrome, Яндекс и firefox есть встроенные менеджеры, которые не только хранят их в защищенном виде для каждого сайта, но и позволяют генерировать новые, безопасные комбинации.
Пример сложного пароляСовет
При генерации паролей следует отказаться от использования осмысленных фраз или слов. Небезопасным будет также замена раскладки – в иностранном сегменте интернета такое может сработать, но большинство взломщиков в рунете работают со обеими раскладками.
Как запомнить придуманную последовательность
- Записать на бумажке. Самый ненадежный способ. Сайтов много, комбинаций — тоже, бумажки постоянно теряются. А вводить пароль каждый раз по одной букве долго и легко ошибиться.
- Сохранить на компьютере в текстовом файле. А чтобы еще больше упростить работу злоумышленникам, желательно назвать файл «my_passwords», поместив его в корень диска C:. Может вставлять сохраненные комбинации гораздо удобнее, чем переписывать их вручную, но ни о какой безопасности в таком случае не может идти и речи.
Password-менеджеры
Из самых известных мультиплатформенных password-менеджеров следует отметить:
- Менеджеры в браузерах Chrome, Opera, Firefox;
- Lastpass;
- 1password;
- Dashlane;
- SafeInCloud;
- Другие.
Пароли будут надежно шифроваться, при этом большинство приложений интегрировано с браузерами. Каждый раз, как пользователь будет заходить на почтовый ящик или в аккаунт соцсети, такие приложения автоматически заполнят логин и сохраненный пароль. Причем комбинации синхронизируются и будут доступны с любых устройств пользователя.
Password-менеджер LastpassКак работать с менеджером пароль в браузерах
Если автозаполнение в настройках браузера включено (доступ к этой функции можно получить, зайдя в настройки браузера и открыв меню «passwords» или «автозаполнение»), то каждый раз, как пользователь попадает на сайт, где от него требуется пройти автаризацию, браузер предложит ему сгенерировать случайные символы и сохранить их в менеджере.
Самые популярные пароли в Интернете! Топ-200
Добрый день, недавно в интернете нашел интересную подборку самых популярных паролей. Я хочу не только поделиться её с вами, но и предупредить. Если ваш пароль попадает в этот список, то взломать вас будет очень просто, если захотят, то сделают это с 100% вероятностью! Я всегда советую использовать сложные пароли, типа %G87dk3*$gf67V Вот с таким паролем вы будете в полной безопасности. В этой статье не буду расписывать, как защитить себя и свои данные в Интернете, я сделаю в будущем отдельный пост. А сейчас встречайте:
Самые популярные пароли
123456
123456789
qwerty
111111
1234567
666666
12345678
7777777
123321
0
654321
1234567890
123123
555555
vkontakte
gfhjkm
159753
777777
TempPassWord
qazwsx
1q2w3e
1234
112233
121212
qwertyuiop
qq18ww899
987654321
12345
zxcvbn
zxcvbnm
999999
samsung
ghbdtn
1q2w3e4r
1111111
123654
159357
131313
qazwsxedc
123qwe
222222
asdfgh
333333
9379992
asdfghjkl
4815162342
12344321
любовь
88888888
11111111
knopka
пароль
789456
qwertyu
1q2w3e4r5t
iloveyou
vfhbyf
marina
password
qweasdzxc
10203
987654
yfnfif
cjkysirj
nikita
888888
йцукен
vfrcbv
k.,jdm
qwertyuiop[]
qwe123
qweasd
natasha
123123123
fylhtq
q1w2e3
stalker
1111111111
q1w2e3r4
nastya
147258369
147258
fyfcnfcbz
1234554321
1qaz2wsx
andrey
111222
147852
genius
sergey
7654321
232323
123789
fktrcfylh
spartak
admin
test
123
azerty
abc123
lol123
easytocrack1
hello
saravn
holysh!t
1
Test123
tundra_cool2
456
dragon
thomas
killer
root
1111
pass
master
aaaaaa
a
monkey
daniel
asdasd
e10adc3949ba59abbe56e057f20f883e
changeme
computer
jessica
letmein
mirage
loulou
lol
superman
shadow
admin123
secret
administrator
sophie
kikugalanetroot
doudou
liverpool
hallo
sunshine
charlie
parola
100827092
/
michael
andrew
password1
fuckyou
matrix
cjmasterinf
internet
hallo123
eminem
demo
gewinner
pokemon
abcd1234
guest
ngockhoa
martin
sandra
asdf
hejsan
george
qweqwe
lollipop
lovers
q1q1q1
tecktonik
naruto
12
password12
password123
password1234
password12345
password123456
password1234567
password12345678
password123456789
000000
maximius
123abc
baseball1
football1
soccer
princess
slipknot
11111
nokia
super
star
666999
12341234
1234321
135790
159951
212121
zzzzzz
121314
134679
142536
19921992
753951
7007
1111114
124578
19951995
258456
qwaszx
zaqwsx
55555
77777
54321
qwert
22222
33333
99999
88888
66666
А вы нашли свой пароль в этом списке?
Если вам помогла или понравилась данная статья, не забудьте поставить свой лайк, это поможет другим пользователям найти её быстрей. А я смогу узнать, что интересует вас больше всего, чтобы подготовить и написать еще больше интересных и полезных статей! С уважением, Вячеслав.
Также стоит прочитать:
Пароль — Википедия
Окно ввода пароля.Пароль (фр. parole — слово) — условное слово[1] или набор знаков, предназначенный для подтверждения личности или полномочий.
Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя.
Пароли использовались с древнейших времён. Полибий (?201 до н. э.) описывает применение паролей в Древнем Риме следующим образом:
То, каким образом они обеспечивают безопасное прохождение ночью выглядит следующим образом: из десяти манипул каждого рода пехоты и кавалерии, что расположено в нижней части улицы, командир выбирает, кто освобождается от несения караульной службы, и он каждую ночь идёт к трибуну, и получает от него пароль — деревянную табличку со словом. Он возвращается в свою часть, а потом проходит с паролем и табличкой к следующему командующему, который в свою очередь передает табличку следующему[2].
Пароли использовались в компьютерах с первых их дней. Например, CTSS от MIT, появившаяся в 1961 году, была одна из первых открытых систем. Она использовала команду LOGIN для запроса пароля пользователя.
Роберт Моррис предложил идею хранения паролей в хеш-форме для операционной системы UNIX. Его алгоритм, известный как crypt, использует 12-битный salt и связывается для изменения формы с алгоритмом DES, снижая риск перебора по словарю.
Исследования показывают[3], что около 40 % всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми. Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хешах типа MD5, SHA-1 от обычных псевдослучайных последовательностей, по алгоритмам вида[4][5][6].
В конце 2017 года корпорация SplashData опубликовала 100 самых ненадежных паролей года. Первое место, уже 4 год подряд, занимает пароль — 123456. Его используют около 17 % пользователей сети Интернет.[7]
В Unix-подобных операционных системах можно использовать утилиту pwgen. Например
pwgen 10 1
сгенерирует 1 пароль длиной 10 символов.
Альтернативные методы контроля доступа[править | править код]
Многочисленные виды многоразовых паролей могут быть скомпрометированы и способствовали развитию других методов. Некоторые из них становятся доступны для пользователей, стремящихся к более безопасной альтернативе.
Простая передача пароля[править | править код]
Пароль передаётся в открытом виде. В этом случае он может быть перехвачен при помощи простых средств отслеживания сетевого трафика.
Передача через зашифрованные каналы[править | править код]
Риск перехвата паролей через Интернет можно уменьшить, помимо прочих подходов, с использованием Transport Layer Security TLS, которая ранее называлась SSL, такие функции встроены во многие браузеры Интернета.
Базирующийся на хешах[править | править код]
Пароль передаётся на сервер уже в виде хеша (например, при отправке формы на web-странице пароль преобразуется в md5-хеш при помощи JavaScript), и на сервере полученный хеш сравнивается с хешем, хранящимся в БД. Такой способ передачи пароля снижает риск получения пароля при помощи сниффера.
Проектирование защищённого программного обеспечения[править | править код]
Общие методы повышения безопасности программного обеспечения систем защищённых паролем включают:
- Ограничение минимальной длины пароля (некоторые системы Unix ограничивают пароли 8 символами).
- Требование повторного ввода пароля после определённого периода бездействия.
- Требование периодического изменения пароля.
- Назначение стойких паролей (генерируемых с использованием аппаратного источника случайных чисел, либо с использованием генератора псевдослучайных чисел, выход которого перерабатывается стойкими хеш-преобразованиями).
Взлом пароля является одним из распространённых типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учётной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хешей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
- Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов. Например, нередко взламывается пароль «qwerty» так как его очень легко подобрать по первым клавишам на клавиатуре.
- Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
- Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т. п. Например Вася Пупкин, 31.12.1999 г. р. нередко имеет пароль типа «vp31121999» или «vp991231».
Для проведения атаки разработано множество инструментов, например, John the Ripper.
Критерии стойкости пароля[править | править код]
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
- Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
- Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю (исключение — Diceware[en]: выбор определённого количества слов из списка определённой длины с помощью генератора случайных чисел; однако пароли получаются длинными).
- Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве популярных рекомендаций к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т. д.), использование малораспространённых или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки[править | править код]
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib[8].
Вторая цель включает в себя предотвращение захвата хеша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищённые (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путём многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban[9]), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server[10] или Active Directory[11] уже включают в себя средства для выполнения этих задач.
Эксперты по кибербезопасности опубликовали список из двухсот самых используемых паролей 2019 года
Независимые специалисты по информационной безопасности проанализировали 500 млн паролей, которые оказались в публичном доступе в результате взломов и утечек данных в 2019 году. Часть паролей были достаточно простые и часто повторялись, а ведь их использовали разные пользователи. Обработав эти данные и сопоставив наиболее встречающиеся пароли по наибольшему количественному значению их использования, был составлен список, включающий в себя двести самых распространенных паролей в мире. Именно такие самые распространенные пароли использовали в 2019 году более 20,5 млн пользователей для своих аккаунтов в социальных сетях, личных кабинетах различных сервисов и электронных почтовых ящиков. Специалисты компании NordPass опубликовали этот список паролей в своем блоге.
Оказалось, что в 2019 году пользователи не изменили своих предпочтений в простоте и выборе паролей. Самые популярные пароли состоят из очевидных и легко угадываемых комбинаций чисел (12345,111111,123321), популярных женских и мужских имен (Николь, Джессика, Ханна, Джошуа, Саманта, Эндрю), наименований различный брендов, видов спорта и просто строк из букв, образующие горизонтальные или вертикальные линии на компьютерной клавиатуре типа QWERTY (asdfghjkl, qazwsx, 1qaz2wsx).
Первая десятка паролей, которую используют около 10,25 млн пользователей, согласно утечкам их данных:
1. 12345 (2 812 220 совпадений)
2. 123456 (2 485 216 совпадений)
3. 123456789 (1 052 268 совпадений)
4. test1 (993 756 совпадений)
5. password (830 846 совпадений)
6. 12345678 (512 560 совпадений)
7. zinch (483 443 совпадений)
8. g_czechout (372 278 совпадений)
9. asdf (359 520 совпадений)
10. qwerty (348 762 совпадений)
Пользователи продолжают все чаще использовать простые и даже одинаковые пароли по нескольким причинам. Во-первых, такие пароли легко запомнить или быстро записать на бумажку. Во-вторых, многие пользователи думают, что им нечего скрывать, поэтому и защищать свои личные данные особо не стараются. В-третьих, количество сервисов растет с каждым годом, а ведь для каждого из них нужен свой пароль, поэтому пользователи просто не задумываются, что все эти пароли должны быть сложными и разными и часто используют один и тот же.
Конечно, сейчас уже начали развиваться сервисы вроде Sign in with Apple («Вход с Apple»), с помощью которых пользователь более защищен в этом плане, так как позволяют пользователям регистрироваться на сайтах и в приложениях в один клик, не оставляя при этом своих личных данных, и не заставляя их придумывать новые пароли и логины. Но подобные сервисы еще не обрели достаточной популярности, и пользователям все равно нужно задуматься о своей сетевой безопасности.
«Подумайте о безопасности в сети, вы же закрываете дверь, выходя из дома. Даже если внутри нет ничего ценного, вы все равно не хотите, чтобы злоумышленники рылись в ваших личных вещах или забрали их себе. Почему же вы не хотите следовать такой же логике в своей онлайн-жизни?» — спрашивают специалисты компании NordPass и напоминают, что злоумышленникам последние годы стало намного проще организовывать процесс взлома пользовательских данных. А по факту через некоторое время после взлома уже пострадавшие пользователи начинают сталкиваются с блокировкой своих же учетных записей, например, в электронной почте, облачном хранилище, и далее испытывают определенные трудности с их восстановлением, если такое вообще будет возможно после хорошо организованной атаки на их виртуальную личность.
200 самых популярных и используемых пользователями паролей в 2019 году1. 12345
2. 123456
3. 123456789
4. test1
5. password
6. 12345678
7. zinch
8. g_czechout
9. asdf
10. qwerty
11. 1234567890
12. 1234567
13. Aa123456.
14. iloveyou
15. 1234
16. abc123
17. 111111
18. 123123
19. dubsmash
20. test
21. princess
22. qwertyuiop
23. sunshine
24. BvtTest123
25. 11111
26. ashley
27. 00000
28. 000000
29. password1
30. monkey
31. livetest
32. 55555
33. soccer
34. charlie
35. asdfghjkl
36. 654321
37. family
38. michael
39. 123321
40. football
41. baseball
42. q1w2e3r4t5y6
43. nicole
44. jessica
45. purple
46. shadow
47. hannah
48. chocolate
49. michelle
50. daniel
51. maggie
52. qwerty123
53. hello
54. 112233
55. jordan
56. tigger
57. 666666
58. 987654321
59. superman
60. 12345678910
61. summer
62. 1q2w3e4r5t
63. fitness
64. bailey
65. zxcvbnm
66. fuckyou
67. 121212
68. buster
69. butterfly
70. dragon
71. jennifer
72. amanda
73. justin
74. cookie
75. basketball
76. shopping
77. pepper
78. joshua
79. hunter
80. ginger
81. matthew
82. abcd1234
83. taylor
84. samantha
85. whatever
86. andrew
87. 1qaz2wsx3edc
88. thomas
89. jasmine
90. animoto
91. madison
92. 0987654321
93. 54321
94. flower
95. Password
96. maria
97. babygirl
98. lovely
99. sophie
100. Chegg123
101. computer
102. qwe123
103. anthony
104. 1q2w3e4r
105. peanut
106. bubbles
107. asdasd
108. qwert
109. 1qaz2wsx
110. pakistan
111. 123qwe
112. liverpool
113. elizabeth
114. harley
115. chelsea
116. familia
117. yellow
118. william
119. george
120. 7777777
121. loveme
122. 123abc
123. letmein
124. oliver
125. batman
126. cheese
127. banana
128. testing
129. secret
130. angel
131. friends
132. jackson
133. aaaaaa
134. softball
135. chicken
136. lauren
137. andrea
138. welcome
139. asdfgh
140. robert
141. orange
142. Testing1
143. pokemon
144. 555555
145. melissa
146. morgan
147. 123123123
148. qazwsx
149. diamond
150. brandon
151. jesus
152. mickey
153. olivia
154. changeme
155. danielle
156. victoria
157. gabriel
158. 123456a
159. 0.00000000
160. loveyou
161. hockey
162. freedom
163. azerty
164. snoopy
165. skinny
166. myheritage
167. qwerty1
168. 159753
169. forever
170. iloveu
171. killer
172. joseph
173. master
174. mustang
175. hellokitty
176. school
177. Password1
178. patrick
179. blink182
180. tinkerbell
181. rainbow
182. nathan
183. cooper
184. onedirection
185. alexander
186. jordan23
187. lol123
188. jasper
189. junior
190. q1w2e3r4
191. 222222
192. 11111111
193. benjamin
194. jonathan
195. passw0rd
196. 0123456789
197. a123456
198. samsung
199. 123
200. love123
Специалисты компании NordPass советуют каждому пользователю:
- удалить старые и неиспользуемые ими аккаунты и странички в различных сервисах, если это возможно;
- менять пароли минимум раз в полгода, используя сложные и уникальные комбинации, которые невозможно предугадать, причем пароли должны отличаться для каждого сервиса и аккаунта;
- активировать двухфакторную аутентификацию везде в сервисах, где это возможно, например, с подтверждение кодом по SMS;
- проверять свои аккаунты и используемые сервисы на предмет подозрительной деятельности в личном кабинете, если там появились новые сообщения или наоборот старые были кем-то удалены, то возможно, что произошла их компроментация;
- использовать специальные менеджеры паролей.
Графические ключи так же предсказуемы, как пароли «1234567» и «password» — «Хакер»
Многочисленные утечки данных не раз доказывали, что самые распространенные пароли (а также самые уязвимые), это всевозможные вариации на тему «password», «p@$$w0rd» и «1234567». Когда в 2008 году в Android появились графические ключи, казалось, они могут изменить ситуацию. Теперь становится ясно, что ситуация с графическими ключами мало отличается от ситуации с обычными паролями. Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Løge) провела исследование данной темы, в ходе защиты магистерской диссертации. Свой доклад под названием «Скажи мне кто ты, и я скажу тебе, как выглядит твой графический пароль» Лёге зачитала на конференции PasswordsCon в Лас-Вегасе.
Так как графически ключи еще сравнительно молоды, и собрать большое количество примеров реальных ключей «из жизни» затруднительно, выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP). Тем не менее, полученные на выходе данные оказались небезынтересны.
«Люди предсказуемы. В случае графических паролей, мы наблюдаем тот же подход, которым люди руководствуются при создании PIN-кодов и обычных буквенно-числовых комбинаций», — рассказала Лёге на конференции. ALP может содержать не менее 4 узлов и не более 9, что суммарно дает 389,112 возможных комбинаций. Так же как в случае с обычными паролями, число комбинаций возрастает экспоненциально, вместе с длиной графического ключа.
| Длина графического ключа | Число комбинаций |
| 4 | 1,624 |
| 5 | 7,152 |
| 6 | 26,016 |
| 7 | 72,912 |
| 8 | 140,704 |
| 9 | 140,704 |
В целом, основные собранные данные таковы:
- 44% ALP начинаются из верхнего левого узла
- 77% начинаются в одном из четырех углов экрана
- 5 – среднее число задействованных в графическом пароле узлов, то есть взломщику придется перебрать менее 8 000 комбинаций
- Во многих случаях графический пароль состоит за 4 узлов, а это уже менее 1,624 комбинаций
- Чаще всего ALP вводят слева направо и сверху вниз, что тоже значительно облегчает подбор
Лёге попросила опрошенных создать три разных ALP: для банковского приложения, для приложению для покупок и для разблокировки смартфона.
К сожалению, опрошенные мужчины и женщины, в подавляющем большинстве, создали ключи из 4-5 узлов. Наименее популярны у пользователей, по неясной причине, оказались пароли длиной 8 узлов, и даже пароли из максимальных 9 узлов набрали больше «голосов».
На иллюстрации ниже верхняя колонка – пароли мужчин, нижняя – пароли женщин:
Мужчины в целом придумывают более сложные и длинные пароли, чем женщины. Самые сложные пароли – у молодых мужчин. Иллюстрация ниже демонстрирует разницу в сложности паролей:
Однако количество узлов – не единственный важный фактор для создания надежного графического ключа. Специфическая последовательность соединения узлов также является ключевым моментом для такого пароля. Если присвоить узлам пароля числа, расположив их так же, как они расположены на клавиатуре обычного телефона, получится, что последовательность 1, 2, 3, 6 куда менее безопасна, чем 2, 1, 3, 6, которая меняет направление.
Мужчины и здесь выбирают более надежные комбинации, такие как последовательность 2, 3, 1. Женщины почти никогда не выбирают комбинации с пересечениями. Лёге отмечает, что людям, в целом, сложно запомнить паттерны высокой сложности.
Команда исследователей формализовала систему оценки сложности графических ключей еще в 2014 году, представив документ «Dissecting pattern unlock: The effect of pattern strength meter on pattern selection».
Опираясь на данную систему оценки надежности комбинаций, Лёге получила следующие цифры: самый ненадежный пароль среди опрошенных набрал 6,6 баллов, самый надежный – 46,8 баллов. Средняя надежность пароля составила 13,6 баллов.
Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее. Если атакующий, пытается взломать смартфон и знает имя жертвы, все становится совсем просто.
«Было очень забавно видеть, что люди используют ту же стратегию запоминания, к которой привыкли, используя численно-буквенные пароли. Тот же самый образ мысли», — рассказала Лёге. Выходит, если атакующим удастся собрать достаточно большое количество графических ключей, они смогут воспользоваться моделью Маркова, что значительно увеличит их шансы на успех. Лёге не стала фокусироваться на данном методе взлома в своем докладе из этических соображений.
В заключение Лёге дала ряд советов, как сделать ALP безопаснее. Во-первых, в графическом ключе стоит использовать большее количество узлов, что сделает пароль более сложным. Во-вторых, стоит добавить пересечений, так как они усложняют атакующим подбор комбинации и помогут запутать злоумышленника, если тот решил подсмотреть пароль через плечо жертвы. В-третьих, стоит отключить опцию «показывать паттерн» в настройках безопасности Android: если линии между точками не будут отображаться на экране, подсмотреть ваш пароль станет еще сложнее.
Фото: Marte Løge
Опубликованы самые популярные пароли Ashley Madison — «Хакер»
Огромная база данных сайта для измен Ashley Madison была опубликована хакерами почти месяц тому назад. Данные 36 млн аккаунтов, включая парольные хеши, стали достоянием общественности. В конце прошлой недели стало известно, что группа парольных взломщиков CynoSure Prime обнаружила, что 15,26 млн паролей в базе обработано с применением MD5, что на несколько порядков облегчает брутфорс. В итоге, взломав 11,7 млн паролей, хакеры поделились интересной статистикой.
Всего CynoSure Prime удалось взломать 11 716 208 паролей.
Среди них уникальных паролей 4 867 246.
Паролей, полностью совпадающих с именем пользователя 630 000.
В основном пароли, используемые пользователями, оказались очень просты. Чаще всего это буквы нижнего регистра с цифрами, или вообще одни только буквы. С другой стороны, хакеры отмечают, что брутфорсили пароли, начиная с самых простых, так что вполне логично, что на выходе таковых оказалось больше всего.
Самый короткий пароль оказался всего 1 символ длиной. Самый длинный – 28 символов. Средняя, наиболее распространенная длина пароля – 6-8 символов.
Также хакеры составили список наиболее интересных и смешных паролей, помимо обычного списка 10\50\100 популярных (то есть повторяющихся чаще всего). Результаты действительно довольно забавные:
Иногда пользователи считают, что чем больше слов, тем лучше пароль: Некоторые сомневаются, стоит ли пользоваться услугами сайта для измен: Некоторые пользователи вообще находятся в стадии отрицания: Наивные пользователи, которые считают Ashley Madison простым сайтом знакомств: Пользователи, которые верят в безопасность Ashley Madison: Пароли из xkcd (https://xkcd.com/936/) Некоторые, похоже, догадываются, что такое Ashley Madison: Просто забавное:
mypasswordispassword
superhardpassword
thebestpasswordever
thisisagoodpassword
ishouldnotbedoingthis
ithinkilovemywife
thisiswrong
whatthehellamidoing
whyareyoudoingthis
cheatersneverprosper
donteventhinkaboutit
isthisreallyhappening
likeimreallygoingtocheat
justcheckingitout
justtryingthisout
goodguydoingthewrongthing
lookingfornewlife
friendswithbenefits
youwillneverfindout
youwillnevergetthis
secretissafewithme
batteryhorsestaple
correcthorsebatterystaple
nothingfound
theywererobots
nobodyhere
everynameitriedwastaken
allthegoodpasswordshavegone
lickemlikeshelikesit
lildickinyourpussyn0w
satisfactionwithlicking
blackfromthewaistdown
smalldickbuthardworker
Впрочем, «скучный список», то есть Топ-100 паролей, взломщики опубликовали тоже. В данном списке ничего смешного уже нет, здесь все предсказуемо примитивно и плохо:
| Пароль | Количество использований |
| 123456 | 120511 |
| 12345 | 48452 |
| password | 39448 |
| DEFAULT | 34275 |
| 123456789 | 26620 |
| qwerty | 20778 |
| 12345678 | 14172 |
| abc123 | 10869 |
| pussy | 10683 |
| 1234567 | 9468 |
| 696969 | 8801 |
| ashley | 8793 |
| fuckme | 7893 |
| football | 7872 |
| baseball | 7710 |
| fuckyou | 7458 |
| 111111 | 7048 |
| 1234567890 | 6572 |
| ashleymadison | 6213 |
| password1 | 5959 |
| madison | 5219 |
| asshole | 5052 |
| superman | 5023 |
| mustang | 4865 |
| harley | 4815 |
| 654321 | 4729 |
| 123123 | 4612 |
| hello | 4425 |
| monkey | 4296 |
| 000000 | 4240 |
| hockey | 4191 |
| letmein | 4140 |
| 11111 | 4077 |
| soccer | 3936 |
| cheater | 3908 |
| kazuga | 3871 |
| hunter | 3869 |
| shadow | 3831 |
| michael | 3743 |
| 121212 | 3713 |
| 666666 | 3704 |
| iloveyou | 3671 |
| qwertyuiop | 3599 |
| secret | 3522 |
| buster | 3402 |
| horny | 3389 |
| jordan | 3368 |
| hosts | 3295 |
| zxcvbnm | 3280 |
| asdfghjkl | 3174 |
| affair | 3156 |
| dragon | 3152 |
| 987654 | 3123 |
| liverpool | 3087 |
| bigdick | 3058 |
| sunshine | 3058 |
| yankees | 2995 |
| asdfg | 2981 |
| freedom | 2963 |
| batman | 2935 |
| whatever | 2882 |
| charlie | 2860 |
| fuckoff | 2794 |
| money | 2686 |
| pepper | 2656 |
| jessica | 2648 |
| asdfasdf | 2617 |
| 1qaz2wsx | 2609 |
| 987654321 | 2606 |
| andrew | 2549 |
| qazwsx | 2526 |
| dallas | 2516 |
| 55555 | 2501 |
| 131313 | 2498 |
| abcd1234 | 2489 |
| anthony | 2487 |
| steelers | 2470 |
| asdfgh | 2468 |
| jennifer | 2442 |
| killer | 2407 |
| cowboys | 2403 |
| master | 2395 |
| jordan23 | 2390 |
| robert | 2372 |
| maggie | 2357 |
| looking | 2333 |
| thomas | 2331 |
| george | 2330 |
| matthew | 2298 |
| 7777777 | 2294 |
| amanda | 2273 |
| summer | 2263 |
| qwert | 2263 |
| princess | 2258 |
| ranger | 2252 |
| william | 2245 |
| corvette | 2237 |
| jackson | 2227 |
| tigger | 2224 |
| computer | 2212 |