Основная статья: Пароли
2023
*Названы самые популярные пароли в России
Российский сервис разведки утечек данных и мониторинга даркнета DLBI провел ежегодное исследование наиболее популярных у интернет-пользователей паролей в России и мире. Всего в рамках исследования было проанализировано 1 518 925 733 (годом ранее – 1 500 547 458) учетных записей, относящихся к утечкам 2023 года в доменных зонах .RU и .РФ. Топ-10 самых популярных паролей российских доменных зон за все время не изменился и включает: 123456, qwerty, 123456789, 12345, qwerty123, 1q2w3e, password, 12345678 и 111111. Такой информацией с TAdviser 16 февраля 2024 года поделились представители DLBI.
При этом топ самых популярных утекших паролей из российских доменных зон в 2023 году изменился достаточно сильно. В него вошли:
- 123456 (новый пароль)
- 123456789 (занимавший 4 место в 2022 году)
- 1000000 (новый пароль)
- 12345678 (занимавший 8 место в 2022 году)
- 12345 (занимавший 7 место в 2022 году)
- 123123 (занимавший 9 место в 2022 году)
- 12345zz (новый пароль)
- qwerty (новый пароль)
- Qwerty123 (новый пароль)
- 1234567890 (занимавший 10 место в 2022 году)
В топ-10 самых популярных кириллических паролей за все время, как и ранее, входят: йцукен, пароль, любовь, привет, наташа, максим, марина, люблю, андрей и кристина.
Топ кириллических паролей за 2023 год составили: йцукен, подружка, пароль, 12345Е, ЙЦУКЕН123, привет, 123йцу, марина, йцукен12345 и йцукенгшщз.
Как показали результаты анализа всей массы данных, топ-25 самых популярных паролей в мире за все время исследований не изменился. В него входят: 123456, 123456789, qwerty123, 12345, qwerty, qwerty1, password, 12345678, 111111 и 1q2w3e.
При этом рейтинг 10 самых популярных паролей, попавших в утечки только за 2023 год, значительно отличается как от общего топа, так и от самых популярных паролей 2023 года. В него вошли:
- 123456 (занимавший 2 место в 2022 году)
- 123456789 (занимавший 3 место в 2022 году)
- 1000000 (новый пароль)
- 12345678 (занимавший 7 место в 2022 году)
- 12345 (занимавший 4 место в 2022 году)
- 123123 (новый пароль)
- 1234567890 (занимавший 8 место в 2022 году)
- 123123qwe (новый пароль)
- qwerty (новый пароль)
- Qwerty123 (новый пароль)
Комментируя результаты исследования, основатель DLBI Ашот Оганесян отметил, что за 2023 год в открытом доступе оказалось около 200 млн неуникальных учетных записей, которые соответствовали 44 млн уникальных, что говорит о том, что одна и та же пара логин/пароль присутствует почти в 5 разных утечках.
«Мы видим, что пользователи не просто выбирают самые простейшие пароли, но используют одни и те же пароли для различных сервисов, что создает угрозу взлома с помощью повторного их использования (password reuse). При этом под угрозой оказываются также и корпоративные ресурсы. Защититься от этого в корпоративной ИТ-инфраструктуре можно с помощью специальных сервисов, позволяющих проверить пароль пользователя на наличие в утечках», - добавил Ашот Оганесян. |
Всего в ходе исследования специалисты DLBI проанализировали 5,52 млрд уникальных учетных записей (пар электронная почта/пароль), из них около 44 млн новых, появившихся в различных утечках в течение 2023 года. На момент исследования в базе паролей находились:
- 5 515 274 144 всего паролей (5 471 135 296 в 2022 году)
- 936 807 451 паролей, содержащих только цифры (924 439 877 в 2022 году)
- 1 411 851 189 паролей, содержащих только буквы (1 403 357 017 в 2022 году)
- 14 803 926 паролей, содержащих буквы русского алфавита (14 599 602 в 2022 году)
- 206 838 387 паролей, содержащих буквы, цифры и спецсимволы (201 792 050 в 2022 году)
- 3 564 893 775 паролей, содержащих 8 и более символов (3 536 268 664 в 2022 году)
- 915 865 308 паролей, содержащих более 10 символов (907 856 723 в 2022 году)
- 1 184 534 934 пароля, содержащих менее 7 символов (1 171 584 985 в 2022 году)
Самые популярные пароли: 123456, admin и 12345678
В 2023 году самыми распространенными в мире паролями стали «123456», «admin» и «12345678». При этом лидер 2022 года — «password» — оказался на 7-й позиции в рейтинге самых часто используемых комбинаций. Об этом говорится в отчете, обнародованном в середине ноября 2023-го разработчиком менеджера паролей NordPass.
Рейтинг составлен в сотрудничестве с независимыми исследователями, специализирующимися на расследовании инцидентов кибербезопасности. Проанализированы данные объемом 4,3 Тбайт, извлеченные из различных общедоступных источников, а также из даркнета. Кроме того, изучено приблизительно 6,6 Тбайт информации, похищенной в ходе кибератак: это, в частности, сведения, украденные с помощью таких зловредов, как Redline, Vidar, Taurus, Raccoon, Azorult и Cryptbot. Журналы вредоносных программ включают не только пароли, но и другие данные, в том числе источник утечки.
В двадцатку самых распространенных паролей 2023 года, помимо перечисленных комбинаций, в порядке уменьшения популярности входят «123456789», «1234», «12345», «123», «Aa123456», «1234567890», «UNKNOWN», «1234567», «123123», «111111», «Password», «12345678910», «000000», «admin123», «********» и «user». Отмечается, что 17 из этих паролей могут быть взломаны меньше чем за секунду, а поэтому злоумышленники могут без проблем получить доступ к аккаунтам жертв. Вместе с тем на подбор кода «UNKNOWN» требуется 17 минут.
В исследовании сказано, что при организации 86% всех атак на веб-приложения используются украденные учетные данные, тогда как онлайн-аккаунты, электронные письма и пароли составляют около 18% наиболее часто продаваемой информации в даркнете. С 2016-го по 2023 год включительно учетные записи пользователей интернета были взломаны в общей сложности около 24 млрд раз.[1]
2022: Самые популярные пароли – a123456, 123456 и 123456789
10 февраля 2023 года представители российского сервиса разведки утечек данных и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence) сообщили о проведении ежегодного исследования логинов и паролей пользователей, попавших в открытый доступ.
Как сообщалось, за год, прошедший с прошлого исследования, в открытом доступе появилось примерно 900 млн неуникальных учетных записей (около 110 млн уникальных), которые были проанализированы. Всего, начиная с 2017 года, сервисом было проанализировано 36,4 млрд неуникальных или 5,47 млрд уникальных учетных записей.
Источниками данных для ежегодных исследований служат различные сообщества, занимающиеся восстановлением паролей из хешей (например, hashmob.net), теневые форумы и Telegram-каналы, где в открытый доступ выкладываются массовые утечки. Полученные данные очищаются от «мусора» (пустых и повторяющихся записей), выявляются и удаляются Облачные сервисы для бизнеса: особенности рынка и крупнейшие поставщики. Обзор TAdviser
В 2022 году в исследование, в частности, попали следующие крупные утечки (свыше 15 млн учетных записей): соцсети для видео dubsmash.com – 50 млн записей, сервиса знакомств mate1.com – 27 млн записей, латиноамериканской соцсети Taringa! – 26 млн записей, сервиса подбора актеров и моделей exploretalent.com – 18 млн записей, интернет-магазина nlstar.com компании сетевого маркетинга NL International – 15 млн записей.
На момент проведения исследования в базе паролей присутствовали:
- 5 471 135 296 всего паролей (5 362 581 573 в 2021)
- 924 439 877 паролей, содержавших только цифры (894 691 158 в 2021)
- 1 403 357 017 паролей, содержавших только буквы (1 380 701 190 в 2021)
- 14 599 602 пароля, содержавшего буквы кириллического алфавита (14 470 812 в 2021)
- 201 792 050 паролей, содержавших буквы, цифры и спецсимволы (195 647 440 в 2021)
- 3 536 268 664 пароля, содержавшего 8 и более символов (3 472 273 173 в 2021)
- 907 856 723 пароля, содержавшего более 10 символов (890 164 009 в 2021)
- 1 171 584 985 паролей, содержавших менее 7 символов (1 139 217 369 в 2021)
Топ-10 самых популярных паролей по всем утечкам с 2017 года практически не изменился с момента предыдущего исследования и состоит из: 123456, 123456789, qwerty123, 12345 (ранее занимавшего 5 место), qwerty (занимавшего в 2021 году 4 место), qwerty1, password, 12345678, 111111 (ранее занимавшего 10 место) и 1q2w3e (занимавшего в 2021 году 9 место).
При этом топ самых популярных паролей из утечек, происходивших именно в 2022 году, значительно отличается. Первое место занимает a123456, за ним – 123456 (занимавший в 2021 году 3 место), 123456789 (занимавший в 2021 году 5 место), 12345 (занимавшего в прошлом году 9 место), 33112211, 111111, 12345678 (8 место в 2021 года), 1234567890, 1234567, 1q2w3e4r.
Отличия топа 2022 года от популярных паролей прошлых лет свидетельствуют о постоянно происходящих упрощениях паролей, придумываемых и запоминаемых людьми. В 2022 году также было проанализировано 1 500 547 458 учетных записей ресурсов, находящихся в доменных зонах .RU и .РФ (годом ранее - 1 483 586 769). Топ самых популярных паролей зон .RU и .РФ за все время составили: 123456, qwerty, 123456789, 12345, qwerty123, 1q2w3e, password, 12345678, 111111 и 1234567890.
Топ популярных паролей зон .RU и .РФ из утечек 2022 года состоял из: 33112211, 123456 (3 местов 2021 году), 1q2w3e4r, 123456789 (6 место годом ранее), qwerty (9 место в 2022 году), 111111, 12345 (5 место в 2021), 12345678, 123123 и 1234567890. При этом топ самых популярных кириллических паролей по всем доменным зонам остался без изменений. В него вошли: йцукен, пароль, любовь, привет, наташа, максим, марина, люблю, андрей и кристина.
Самыми популярными именами (левая часть e-mail адреса, выступающего в качестве логина) во всем мире в 2022 году стали: info, admin, office, mail, contact, sales, adam, webmaster, john, david. Самыми популярными доменами (правая часть e-mail адреса, выступающего в качестве логина) стали gmail.com, yahoo.com, hotmail.com, mail.ru, rambler.ru, yandex.ru, qq.com, ya.ru, aol.com и bk.ru.
Изменение топов используемых паролей говорит о том, что, несмотря на атаки хакеров и усилия производителей ПО, пароли пользователей в массе своей остаются опасно простыми. Почти миллиард паролей содержит только цифры, а мировой топ возглавляют вариации 12345. отметил Ашот Оганесян, основатель сервиса DLBI |
2021
Лидеры: 123456, 123456789 и qwerty123
21 января 2022 года стали известны результаты исследования наиболее популярных паролей в 2021 году, проведенного сервисом разведки утечек данных и мониторинга даркнета DLBI.
В рамках исследования, проводимого с 2017 года, всего было проанализировано 35,5 млрд пар логин-пароль, из которых 5,36 млрд были уникальными. По результатам 2021 года было выделено более 250 млн новых пар логин-пароль, которые ранее не встречались в каких-либо утечках.
Источниками данных для исследования послужили сообщества энтузиастов, занимающихся восстановлением паролей из хешей, такие как, например, hashmob.net, а также теневые форумы, где массовые утечки выкладываются в открытый доступ. Эти данные были очищены данные от «мусора» (пустых и повторяющихся записей), а также автоматически сгенерированных учетных данных ботов.
В исследование, в частности, вошли такие крупные утечки, как данные пользователей P2P-сети для обмена файлами imesh.com (44 млн записей), китайского литературного ресурса readnovel.com (42 млн записей), российского сервиса анонимных вопросов и ответов sprashivai.ru (25 млн записей), онлайн-сообщества писателей и читателей wattpad.com (23 млн записей), а также сервиса создания онлайн-викторин dailyquiz.me (22 млн записей).
На момент исследования в базе находилось:
- 5 362 581 573 паролей всего (+5% в сравнении с 2020 годом)
- 894 691 158 паролей, содержащих только цифры (+5, 5% в сравнении с 2020 годом)
- 1 380 701 190 паролей, содержащих только буквы (+3,3% в сравнении с 2020 годом)
- 14 470 812 паролей, содержащих кириллические символы (+8,14% в сравнении с 2020 годом)
- 195 647 440 паролей, содержащих буквы, цифры и спецсимволы (+14,25% в сравнении с 2020 годом)
- 1 139 217 369 паролей из 7 и менее символов (+4,4% в сравнении с 2020 годом)
- 3 472 273 173 паролей из 8 и более символов (+5,2% в сравнении с 2020 годом)
- 890 164 009 паролей из более 10 символов (+5,9% в сравнении с 2020 годом)
Среди самых популярных паролей за все время исследования: 123456, 123456789, qwerty123 (ранее бывший на 7 месте), qwerty (ранее занимавший 3 место), 12345 (ранее занимавший 4 место), qwerty1, password (ранее бывший на 5 месте), 12345678 (ранее занимавший 6 место), 1q2w3e (ранее занимавший 8 место), 111111 (ранее занимавший 9 место).
А так выглядит десятка самых популярных паролей из утечек 2021 года: qwerty123, qwerty1, 123456 (занимавший первое место по итогам 2020 года), a11111, 123456789 (ранее бывший на 2 месте), 111111 (бывший на 3 месте), 112233, 12345678 (занимавший по итогам 2020 года 5 место), 12345 (бывший на 7 месте) и 000000 (бывший на 9 месте).
В рамках этого исследования впервые были отдельно проанализированы пароли для учетных записей в доменных зонах .RU и .РФ, в которых в качестве логинов использовались соответствующие адреса электронной почты. Всего было обработано 1 483 586 769 учетных записей, а список самых популярных паролей составили: 123456, qwerty, 123456789, 12345, qwerty123, 1q2w3e, password, 12345678, 111111, 1234567890.
При этом топ паролей из утечек 2021 года по российским доменным зонам состоял из qwerty123, qwerty1, 123456, asdasd, 12345, 123456789, asdasd123, 12345678, qwerty и 123321.
В традиционный топ самых популярных кириллических паролей вошли: йцукен, пароль, любовь (поднявшаяся с 4 места), привет (в 2021 году занимавший 5 место), наташа (перешедший с 6 места), максим (упавший с 7 места), марина (поднявшаяся с 9 позиции), люблю, андрей (занимавший 10 место) и кристина.
Комментируя результаты исследования, основатель DLBI Ашот Оганесян отметил, что полученные данные в очередной раз подтверждают, что значительная часть пользователей достаточно легкомысленно относится к используемым паролям, и за 2021 год ни доля сложных (содержащих буквы, цифры и спецсимволы), ни доля длинных (более 10 символов) паролей практически не изменилась, оставшись на уровне 3,5% для первых и 16,5% для вторых.
При этом возможный ущерб от подбора паролей даже для физических лиц с каждым годом возрастает. Очень часто, получив доступ, например, к электронной почте злоумышленники могут сбросить пароль к онлайн-банку или сервису Госуслуги, попытавшись обойти двухфакторную аутентификацию с помощью социальной инженерии. И это если SMS-подтверждение у них вообще включено, что для тех же Госуслуг далеко не правило, - рассказал Ашот Оганесян. |
Также большой проблемой остается то, что многие сервисы, в которых пользователи регистрируются с собственным паролем, используют для его хранения слабые и устаревшие алгоритмы хеширования, а некоторые даже хранят пароли в открытом виде, что позволяет легко получить к ним доступ при случайной утечке или взломе, добавил Ашот Оганесян.
Популярные утекшие пароли, отсылающие к именам известных супергероев
4 октября 2021 года стало известно о том, что эксперты Mozilla, разработчика браузера Firefox, проанализировали базу взломанных аккаунтов haveibeenpwned.com и пришли к выводу, что интернет-пароли, отсылающие к именам известных супергероев, достаточно часто востребованы пользователями. Об этом сообщается в блоге компании.
Так в базе данных слитых паролей haveibeenpwned.com находится примерно 370 тыс. паролей, отсылающих к Супермену, еще более 220 тыс. связаны с Бэтменом и 160 тыс. - с Человеком-пауком.
Еще тысячи аккаунтов по всему миру защищены паролями, в которых упоминаются не сами супергерои, а имена вымышленных персонажей, которые обладали суперспособностями. Так списке оказались Джеймс Хоулетт (Росомаха) и упомянутые выше киногерои: Кларк Кент, Брюс Уэйн и Питер Паркер.
«Пароль - это как ключи от вашей квартиры. В киберпространстве он выполняет функцию стража ваших персональных данных. Именно поэтому важно добиться того, чтобы пароли были устойчивыми к взлому», - отметили в Mozilla. |
2020
Cамый популярный пароль содержащий буквы, цифры и спецсимволы - 1qaz@WSX
Cамый популярный пароль содержащий буквы, цифры и спецсимволы - 1qaz@WSX. Об этом стало известно 1 марта 2021 года.
В данное исследование вошло примерно 5,1 млрд уникальных пар логин/пароль. Логином в данном случае считается адрес электронной почты.
Следует отметить, что за все время, начиная с самого первого исследования паролей в 2017 году, экспертами было проанализировано 33,3 млрд пар логин/пароль (включая неуникальные).
Источниками анализируемых данных служат различные сообщества, занимающиеся восстановлением паролей из хешей (например, hashes.org и hashkiller.io) и теневые форумы, где в открытый доступ выкладываются массовые утечки.
Данные очищаются от «мусора» (пустых и повторяющихся записей). С помощью специального алгоритма (фильтра) выявляются и дисквалифицируются автоматически сгенерированные пароли (те, которые устанавливают не пользователи сами, а сервис, допустивший утечку этих самых паролей), а также массовые автоматические регистрации (когда учетные записи на том или ином сервисе, допустившем утечку, заводятся ботами). Кириллические символы приводятся к единой кодировке.
За 2020 год отмечены следующие крупные утечки (свыше 30 млн пар логин/пароль), попавшие в данное исследование:
- сообщество виртуальных питомцев neopets.com – 68 млн
- социальная сеть netlog.com – 53 млн
- онлайн-сообщество для писателей и читателей wattpad.com – 48 млн
- сервис для размещения фотографий fotolog.com – 42 млн
- социальная сеть livejournal.com – 33 млн
Цифры в списке выше, это не размер утечки, допущенной тем или иным сервисом, а количество «расшифрованных» паролей, доступных на момент исследования. Сами эти утечки могли происходить и раньше 2020 года, однако только в 2020 году они стали публично доступны.
На момент исследования в базе паролей:
- 5,108,611,469 всего паролей (было 4,883,711,954)
- 848,134,618 паролей содержат только цифры (было 779,281,749)
- 1,335,889,957 паролей содержат только буквы (было 1,275,706,800)
- 13,381,165 паролей содержат буквы кириллического алфавита (было 10,972,555)
- 171,246,021 паролей содержат буквы, цифры и спецсимволы (было 159,948,243)
- 3,300,865,676 паролей содержат 8 и более символов (было 3,126,556,695)
- 840,680,047 паролей содержат более 10 символов (было 792,123,298)
- 1,091,415,435 паролей содержат менее 7 символов (было 1,031,293,444)
Взяв за основу эти данные, был составлен традиционный «хит-парад» паролей и логинов. В скобках указывается старое место записи в топе (если она в него попадала ранее).
10 самых популярных паролей за все время:
- 123456
- 123456789
- qwerty
- 12345
- password
- 12345678
- qwerty123
- 1q2w3e
- 111111
- 123123
Замечено, что на 10-м месте появился пароль «123123», сместив «1234567890» на 12-е место.
Начиная с 2021 года, решено публиковать 25 самых популярных паролей за все время:
- 1234567
- 1234567890
- 000000
- qwertyuiop
- 123321
- 1234
- abc123
- 654321
- 666666
- 1q2w3e4r5t
- 7777777
- password1
- iloveyou
- 555555
- 123
А вот так выглядят 10 самых популярных паролей из утечек только за 2020 год:
- 123456
- 123456789
- 111111 (9)
- Password (5)
- 12345678 (8)
- 123123
- 12345 (3)
- 1234567
- 000000
- 1234567890
10 самых популярных паролей, содержащих только буквы:
- qwerty
- password
- qwertyuiop
- iloveyou (5)
- asdasd
- zxcvbnm
- qazwsx (8)
- dragon (9)
- asdfghjkl
- monkey
Пароль «unknown» (ранее занимал 7 место) был дисквалифицирован в 2021 году, т.к. попал под фильтр.
10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:
- 1qaz@WSX (3)
- P@ssw0rd (4)
- p@ssw0rd (5)
- 1qaz!QAZ (7)
- !QAZ2wsx
- Pa$$w0rd
- Password1!
- feder_1941
- !qaz2wsx
- abc123!
Пароли «Aa123456.» (ранее 1 место), «)4ever» (2), «123456QQAqqa_» (6), «Spiritwear_2004» (8), «wowecarts@123» (9) и «film@123» (10) бывшие в списке сложных паролей рейтинга 2020 года, попали под фильтр и были дисквалифицированы в 2021 году.
10 самых популярных кириллических паролей:
- йцукен (2)
- пароль (1)
- я
- любовь
- привет
- наташа
- максим (8)
- люблю (7)
- марина
- андрей (9)
В 2021 году решено показать 10 самых популярных паролей, которые попали под фильтр и были убраны из основных рейтингов:
- g_czechout
- DEFAULT
- 30media
- 10pace
- 59trick
- 24crow
- 59mile
- 19weed
- 66bob
- )ryan
25 самых популярных паролей, так или иначе связанных с коронавирусом и пандемией:
- covid19
- корона
- epidemic
- COVID19_Access
- Covid19
- pandemic
- covid-19
- coronavirus
- COVID19
- covid2020
- epidemic5
- Covid2020
- epidemic1
- эпидемия
- pandemic1
- coronavirus1
- covidien
- covid2019
- Covid-19
- Coronavirus2020
- Covid2019
- Pandemic
- covid192020
- coronavirus19
- covid1984
Теперь что касается логинов (адресов электронной почты).
10 самых популярных доменов:
- yahoo.com
- gmail.com
- hotmail.com (4)
- mail.ru (3)
- rambler.ru
- yandex.ru
- ya.ru
- qq.com (10)
- aol.com (8)
- bk.ru (9)
10 самых популярных имен:
- info
- admin (4)
- office (5)
- mail (6)
- contact (7)
- sales (8)
- adam (9)
- webmaster
- john (10)
- chris
Имена «rambler.ru» (ранее 2 место) и «mail.ru» (3) были убраны из этого списка, т.к. попали под фильтр[3].
Самые популярные 123456789, picture1 и password
Проверив почти 275,7 миллиона паролей, NordPass опубликовал список наиболее часто используемых паролей для онлайн-аккаунтов в 2020 году. Об этом стало известно 19 ноября 2020 года. Первые пять строчек заняли такие сочетания, как "123456789", "picture1", "password" и "12345678". Самым распространенным паролем оказался "123456", который только за 2020 год был взломан более 23 миллионов раз.
Более короткий пароль «12345» занимал первое место в 2019 году. Но более 188000 пользователей выбрали его в 2020 году, что позволило занять ему восьмое место. Оба пароля можно взломать менее чем за секунду.
NordPass заявил, что менее половины паролей в списке 2020 года являются новыми. Аналитики заметили, что пользователи предпочитают простые пароли, ведь их проще запомнить. Ради удобства многие используют для защиты аккаунтов нецензурные слова, числа, имена и еду.
Также в качестве пароля люди часто названия групп, фильмов, мультфильмов и других объектов поп-культуры. Подобные комбинации тоже считаются ненадежными. В NordPass отметили, что самым популярным паролем 2019 года стало название музыкальной группы «onedirection». На ноябрь 2020 года данную комбинацию обошли такие пароли, как «pokemon» и «blink-182»[4].
2019
Рейтинг года: 12345 - лидер
Специалисты NordPass[5] опубликовали список самых распространенных и наименее безопасных паролей. Эксперты воспользовались базой данных, содержащей около 500 млн утекших в 2019 паролей, и ранжировали их по популярности.
Тремя наиболее часто используемыми паролями оказались 12345, 123456 и 123456789, которые были выявлены в базе данных в общей сложности 6 348 704 раз. Данные пароли являются чрезвычайно ненадежными и полностью предсказуемыми, позволяя злоумышленникам легко взломать учетные записи путем брутфорс-атаки.
Список 100 худших паролей представлен ниже:
- 12345
- 123456
- 123456789
- test1
- password
- 12345678
- zinch
- g_czechout
- asdf
- qwerty
- 1234567890
- 1234567
- Aa123456.
- iloveyou
- 1234
- abc123
- 111111
- 123123
- dubsmash
- test
- princess
- qwertyuiop
- sunshine
- BvtTest123
- 11111
- ashley
- 00000
- 000000
- password1
- monkey
- livetest
- 55555
- soccer
- charlie
- asdfghjkl
- 654321
- family
- michael
- 123321
- football
- baseball
- q1w2e3r4t5y6
- nicole
- jessica
- purple
- shadow
- hannah
- chocolate
- michelle
- daniel
- maggie
- qwerty123
- hello
- 112233
- jordan
- tigger
- 666666
- 987654321
- superman
- 12345678910
- summer
- 1q2w3e4r5t
- fitness
- bailey
- zxcvbnm
- fuckyou
- 121212
- buster
- butterfly
- dragon
- jennifer
- amanda
- justin
- cookie
- basketball
- shopping
- pepper
- joshua
- hunter
- ginger
- matthew
- abcd1234
- taylor
- samantha
- whatever
- andrew
- 1qaz2wsx3edc
- thomas
- jasmine
- animoto
- madison
- 0987654321
- 54321
- flower
- Password
- maria
- babygirl
- lovely
- sophie
- Chegg123
Cреди 21 млн украденных учетных записей обнаружено только 4,9 млн уникальных паролей
30 октября 2019 года стало известно, среди 21 млн украденных учетных записей исследователи из компании ImmuniWeb обнаружили только 4,9 млн уникальных паролей, свидетельствуя о том, что многие пользователи используют идентичные или похожие пароли. Чаще всего простыми паролями пользуются в технологической отрасли (passw0rd, 1qaz2wsx, career121, abc123 и password1), в финансовой (456a33, student, old123ma, welcome и 123456) и сфере здравоохранения (Exigent, password, pass1, 000000 и 123456). Подробнее здесь.
DeviceLock изучил самые популярные пароли в западном сегменте и Рунете
23 апреля 2019 года стало известно, что компания DeviceLock – российский производитель систем борьбы с утечками данных, проанализировала 3,5 млрд скомпрометированных пар логин-пароль, входивших в 7 коллекций общим объемом 975 Гб, опубликованных хакерами с начала 2019 года.
В рамках исследования были выделены наиболее частотные пароли в различных сегментах. В частности, в десятку самых популярных паролей вошли: 123456, 123456789, qwerty, password, 12345, qwerty123, 1q2w3e, 12345678, 111111, 1234567890. Самыми популярными кириллическими паролями стали: я (единственный односимвольный пароль), пароль, йцукен (в 2018 году занимавший второе место в рейтинге), любовь, привет, люблю, наташа, максим, андрей, солнышко.
При этом доли слабых (состоящих только из букв или только из цифр) и сильных паролей (включающих цифры, буквы и спецсимволы) практически не изменились и составили 42% и 3% соответственно. Также осталась неизменной доля паролей, содержащих менее 7 символов, которая составила 20%
Для логинов, представляющих собой почтовые адреса, самыми популярными сервисами у пользователей, потерявших пароли стали: mail.ru (в 2018 году занимавший 4-е место), yahoo.com (лидер рейтинга 2018 года), hotmail.com, gmail.com, rambler.ru (поднявшийся на 5 место с 7-го в 2018 году), yandex.ru, bk.ru, aol.com, qq.com и list.ru.
По словам основателя и технического директора DeviceLock Ашота Оганесяна, растущее число и утечек как таковых и использование слабых паролей, в частности, говорит о том, что, несмотря на все образовательные усилия участников IT-отрасли, пользователи продолжают, в основном, легкомысленно относиться к выбору паролей.
В корпоративных системах, где есть возможность установить жесткие требования к паролю, ситуация улучшается. Но там, где автоматизированного контроля нет, пользователи пишут ровно то, что у них в голове. А там «привет, люблю, Наташа». При этом взлом, например, онлайн-кабинета в маловажном сервисе позволяет впоследствии быстро добраться и до более важных систем, включая электронную почту или мессенджер. Оганесян Ашот, технический директор DeviceLock (ранее Смарт Лайн Инк (Smart Line))
|
Почему пароль ji32k7au4a83 встречается в 141 утечке
7 марта 2019 года стало известно, что несмотря на кажущуюся надежность, пароль «ji32k7au4a83» встречается в 141 утечке.
На первый взгляд, «ji32k7au4a83» кажется намного более надежным паролем по сравнению с популярным «qwerty12345». Из-за произвольно расположенных символов может показаться, что «ji32k7au4a83» сгенерирован автоматической системой наподобие генератора паролей браузера или менеджера паролей. Тем не менее, эта комбинация символов используется в качестве учетных данных гораздо чаще, чем может показаться.
По данным поисковой системы HaveIBeenPwned, позволяющей пользователям узнавать, встречаются ли их учетные данные в каких-либо утечках, «ji32k7au4a83» содержится в 141 утекшей базе данных. Первым внимание на это обратил инженер Роберт Оу (Robert Ou). Через Twitter он обратился к пользователям с вопросом, почему эта комбинация встречается так часто, хотя на первый взгляд кажется совершенно случайной.
Задача: объяснить, почему так происходит и как этот пароль можно взломать. Роберт Оу (Robert Ou)
|
Ответ оказался весьма прост – «ji32k7au4a83» отнюдь не является случайным набором символов. Дело в том, что на Тайване для изучения китайского языка используется фонетический алфавит Чжуинь фухао или бопомофо. Если включить на клавиатуре раскладку бопомофо и набрать по-китайски «мой пароль», получится «ji32k7au4a83».
Данный случай показывает, что проблемы с безопасностью могут затрагивать любой язык в мире, и китайский не является исключением[6].
Рейтинг 2017 года: 123456 - лидер
Как сообщает Bleeping Computer, к такому выводу пришли эксперты калифорнийской компании SplashData (выпускает менеджеры паролей, в том числе TeamsID и Gpass) по итогам анализа миллионов паролей, оказавшихся в Сети в результате различных утечек.
«123456» является очень ненадежным паролем, но остальные в списке ста худших паролей 2017 года ничем не лучше. Большой популярностью пользуются спортивные термины (football, baseball, soccer, hockey, Lakers, jordan23, golfer, Rangers, Yankees), марки автомобилей (Mercedes, Corvette, Ferrari, Harley) и выражения (iloveyou, letmein, whatever, blahblah).
Как бы то ни было, истинными лидерами списка худших паролей являются имена: Robert (#31), Matthew (#32), Jordan (#33), Daniel (#35), Andrew (#36), Andrea (#38), Joshua (#40), George (#48), Nicole (#53), Hunter (#54), Chelsea (#62), Phoenix (#66), Amanda (#67), Ashley (#69), Jessica (#74), Jennifer (#76), Michelle (#81), William (#86), Maggie (#92), Charlie (#95) и Martin (#96).
Первые 25 паролей из топ-100 худших паролей 2017 года:
- 1 - 123456
- 2 - password
- 3 - 12345678
- 4 - qwerty
- 5 - 12345
- 6 - 123456789
- 7 - letmein
- 8 - 1234567
- 9 - football
- 10 - iloveyou
- 11 - admin
- 12 - welcome
- 13 - monkey
- 14 - login
- 15 - abc123
- 16 - starwars
- 17 - 123123
- 18 - dragon
- 19 - passw0rd
- 20 - master
- 21 - hello
- 22 - freedom
- 23 - whatever
- 24 - qazwsx
- 25 - trustno1
Рейтинг 2016 года: 123456 - лидер
В январе 2017 года стало известно о том, что 123456 остается самым популярным в мире паролем. Об этом говорится в исследовании, опубликованном компанией Keeper Security. По данным исследователей, в 2016 году не менее 17% пользователей интернета используют или использовали в самом недавнем прошлом именно этот пароль.
Предметом исследования стали в общей сложности 10 миллионов, опубликованных в Сети после разных масштабных взломов. 123456 занял первое место по популярности. На втором — "более сложный" пароль 123456789, на третьем — "легендарный" qwerty. Также в изобилии встречаются 111111, 123123, 123321, google, 987654321 и прочие "сложнейшие" комбинации, которые подбираются "методом тыка".
Хотя сами пользователи — первые, кого следует обвинять за такое пренебрежение основами безопасности, однако часть ответственности лежит и на владельцах сайтов, которые не пытаются ввести более жесткие правила для паролей и допускают легко угадываемые или подбираемые комбинации.
Мы можем критиковать хроническую неспособность пользователей применять сложные пароли. В конце концов, это в их собственных интересах. Однако большая доля ответственности лежит на владельцах веб-сайтов, которые не вводят политику принудительного усложнения паролей даже на самом базовом уровне. Это несложно сделать, однако... многим все равно, — утверждают исследователи. |
В публикации Keeper Security указывается еще одна интересная деталь. В списке самых популярных паролей присутствуют такие комбинации как 18atcskd2w и 3rjs1la7qe. Эти пароли выглядят случайными, но частота их употребления показывает, что это не так.
По мнению исследователей, этими паролями серийно пользуются боты для автоматической регистрации новых аккаунтов в почтовых сервисах. Эти аккаунты затем используются для спама и фишинга.
Скорее всего, это означает, что провайдеры почтовых сервисов не прилагают достаточных усилий для борьбы с ботами: идентичные "случайные" пароли - это явный повод для серьезных подозрений. [7]
Рейтинг 2015 года: 123456 - лидер
SplashData представляет топ самых используемых паролей ежегодно. Информацию компания добывает из источников, которые «сливают» чужие пароли к самым разнообразным площадкам в интернете. В 2015 году SplashData проанализировала 2 млн различных паролей, сравнив результаты с 2014 годом.
Первую и вторую строчки, как и в предыдущем году, заняли пароли «123456» и password. На третье место поднялся цифровой набор «12345678», сместив более простой «12345». Знаменитый qwerty также поднялся на одну строчку, заняв четвертое место.
Что касается «осмысленных» паролей, то названия видов спорта (football и baseball) остаются столь же популярны. Также среди «новичков» в списке появились пароли solo и starwars, недвусмысленно отсылающие к выходу продолжения киносаги «Звездные войны». Они заняли 23-е и 25-е места топа соответственно.
Рейтинг 2014 года: 123456 - лидер
В сентябре 2014 года в Сети опубликован текстовый файл с 1,26 млн логинами и паролями от учетных записей «Яндекса». В компании утверждают, что он не является результатом взлома или утечки. Пользователи подсчитали, что пароль «123456» встречается в файле около 38 тыс. раз, «123456789» — около 13 тыс. раз, «111111» — около 9,5 тыс., а «qwerty» — около 7,7 тыс. В число популярных паролей также попали «7777777», «123321», «000000», «666666» и др.
Рейтинг 2013 года: 123456 выходит в лидеры
В 2013 г. слово «password» перестало быть самым популярным паролем среди пользователей интернета, сообщила компания SplashData, публикующая ежегодный список худших паролей Worst Password.
Сочетание цифр «123456» отвоевало первенство у лидера худших паролей слова «password», которое опустилось на второе место по популярности. До этого «password» возглавлял рейтинг два года подряд - в 2011 г. и в 2012 г.
На третьем месте осталось сочетание «12345678». В первую десятку также вошли следующие пароли: «qwerty», «abc123», «123456789», «111111», «1234567», «iloveyou» и «adobe123».
Наличие пароля «adobe123» в первой десятке связано с крупнейшей утечкой в истории, в результате которой были раскрыты данные 150 млн пользователей разработчика Photoshop, компании Adobe Systems.
Рейтинг 2012 года: Password - лидер
Глобальный отчет по безопасности компании Trustwave 2012 года посвящен уязвимым элементам в информационной безопасности компании. Авторы доклада исследовали более 300 инцидентов в 18 странах, произошедших в 2011 году.
Доклад акцентирует внимание на продолжающемся росте кибератак, а также увеличению количества злоумышленников в сфере информационной безопасности.
Большинство инцидентов возникает в следствии организационных и административных проблем. В ходе исследования было обнаружено, что 76% случаев нарушений произошло из-за уязвимости системы безопасности отделов, ответственных за системную поддержку и развитие компании.
Большая часть исследования посвящена проблеме использования слабых паролей. По мнению специалистов Trustwave, 80% инцидентов происходит в следствии слабых паролей. Слабые пароли продолжают оставаться основным уязвимым местом, используемым злоумышленниками как в крупных, так и в небольших компаниях.
По факту, использование слабых и стандартных паролей облегчает работу взломщиков для проникновения в информационные системы. Порой преступникам не требуется использование сложных, продуманных методов для взлома. По данным компании Trustwave, самым используемым паролем в сети является `Password1`(пароль1). В исследовании отмечено, что применение стандартных паролей присуще также при работе с серверами, сетевым оборудованием и различными устройствами пользователей.
В своем исследовании компания Trustwave приводит список наиболее употребляемых паролей. Английское слово `Password` (пароль) употребляется в 5% случаях, а слово Welcome (приветствие) в 1.3% случаев. Стоит также обратить внимание на использование времен года и дат. Не использовать подобные пароли и их варианты:
- Password1
- welcome
- 123456
- Winter10
- Spring2010
Также одна из проблем заключается в том, что многие устройства и приложения используются с изначальными стандартными паролями, зачастую дающими полноту прав доступа, говорится в исследовании.
Рейтинг 2011 года: Password - лидер
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
- password,
- 123456,
- 12345678,
- qwerty,
- abc123,
- monkey,
- 1234567,
- letmein,
- trustno1,
- dragon,
- baseball,
- 111111,
- iloveyou,
- master,
- sunshine,
- ashley,
- bailey,
- passw0rd,
- shadow,
- 123123,
- 654321,
- superman,
- qazwsx,
- michael и
- football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_". Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Примечания
- ↑ Top 200 Most Common Passwords
- ↑ Mozilla назвала самые популярные "утекшие" пароли
- ↑ Эксперты проанализировали более 5 миллиардов утекших паролей
- ↑ Названы самые популярные пароли в 2020 году
- ↑ Here are the most popular passwords of 2019
- ↑ Что делает комбинацию «ji32k7au4a83» ужасным паролем?
- ↑ [1]