Сколько бы эксперты по информационной безопасности не напоминали о необходимости использовать сложные пароли и даже периодически их менять, заветная комбинация «123456» продолжает лидировать в рейтинге самых популярных паролей. Проанализировав данные более 10 млн учетных записей, которые утекли в сеть за последние двенадцать месяцев, специалисты компании Keeper опубликовали топ-25 паролей 2016 года. Большинство из них можно взломать за несколько секунд.
Сколько бы эксперты по информационной безопасности не напоминали о необходимости использовать сложные пароли и даже периодически их менять, заветная комбинация «123456» продолжает лидировать в рейтинге самых популярных паролей. Проанализировав данные более 10 млн учетных записей, которые утекли в сеть за последние двенадцать месяцев, специалисты компании Keeper опубликовали топ-25 паролей 2016 года. Большинство из них можно взломать за несколько секунд.
И «google» не поможет
Keeper известна своим приложением для управления паролями, и так как компания использует собственные методы анализа, представленный список отличается от ежегодного рейтинга SplashData (он обновится в ближайшее время). Результаты предсказуемо неутешительные - длина семи из пятнадцати популярных паролей составляет не более шести символов, тогда как некоторые инструменты взлома позволяют подобрать короткую комбинацию в считанные секунды.
Ни последовательность цифр в обратном порядке, ни более сложные варианты вроде «1q2w3e4r» и «123qwe» не помогут защитить аккаунт. Пароль «google» (номер 21 в списке) также не будет серьезным препятствием для взлома. Эксперты уже перестали надеяться на благоразумие пользователей и считают, что единственным выходом является ужесточение правил выбора паролей со стороны интернет-сервисов.
Топ-25 худших паролей 2016 года по версии Keeper:
- 123456
- 123456789
- qwerty
- 12345678
- 111111
- 1234567890
- 1234567
- password
- 123123
- 987654321
- qwertyuiop
- mynoob
- 123321
- 666666
- 18atcskd2w
- 7777777
- 1q2w3e4r
- 654321
- 555555
- 3rjs1la7qe
- 1q2w3e4r5t
- 123qwe
- zxcvbnm
- 1q2w3e
Как защитить себя
Самыми надежными являются комбинации с цифрами, буквами и другими символами, но без даты рождения, имен родственников и других слов, которые можно найти в словаре. Если в сервисе есть двухфакторная аутентификация, стоит включить и ее. Также можно использовать аппаратные USB-ключи, включая варианты со сканером отпечатков пальцев.
Последние исследования показывают, что частая смена паролей не всегда идет на пользу. Со временем человек начинает выбирать очень похожие и предсказуемые комбинации, например, с дополнительным символом или одной буквой в верхнем регистре. Таким образом, если в руки злоумышленников попадет старый пароль, они относительно легко смогут взломать учетную запись.
2015 начался с того, что Юля пишет какие-то материалы для параноиков. Не имею ни малейшего понятия, как это получилось. Но раз уж в масть, то сегодня поделюсь с вами информацией о самых популярных паролях пользователей в ушедшем году. И если среди этого набора цифр и букв вы нашли свой, знайте – его срочно пора менять!
И несмотря на то, что цифровой блог “123456” все еще удерживает пальму первенства в списке самых не то, чтобы плохих, но распространённых, а значит ненадежных паролей, компания SplashData опубликовала ежегодный список неугодных паролей. 20 января в Калифорнии состоялся доклад спикеров компании и мне кажется, он был одновременно и остроумен, и очень серьезен. Наверняка, увидев список из самых популярных паролей, специалисты по безопасности очень громко смеялись над человеческой наивностью. Для того, чтобы сохранить свою информацию в безопасности, а электронные кошельки на замке, не обязательно обзаводится чудными девайсами. Просто пользуйтесь паролями. И не самым простыми. И не надо ставить один и тот же пароль на все аккаунты от разблокировки компа до аккаунта на фейсбук.
Собственно, список 25 самых популярных паролей выглядит вот так:
- 123456
- 12345 – стал популярнее на 17 (!) пунктов
- 12345678
- qwerty
- 123456789
- 1234 – стал популярнее на 9 пунктов
- baseball – новье
- dragon – новье
- football – новье
- 1234567
- monkey – стал популярнее на 5 пунктов
- letmein
- abc123 – стал менее популярен на 9 пунктов, это хорошо
- 111111 – стал менее популярен на 8 пунктов, это хорошо
- mustang – новье
- access – новье
- shadow
- master – новье
- michael – новье
- superman – новье
- 696969 – новье
- 123123 – стал менее популярен на 12 пунктов, это хорошо
- batman – новье
- trustno1
Использовать один из этих паролей для защиты своего девайса равнозначно тому, если бы вы совсем на него никакой пароль не вешали. В течении года “утекло” более, чем 3,3 млн паролей. И собственно на этих данных и базировался отчет об ошибках пользователей. 25 самых используемых паролей составляют 2,2% от незащищенных паролей. И, как отмечает Марк Бернетт, специалист по безопасности, отмечает, что это самый низкий процент за все четыре года работы компании.
- если нет возможности защитить свой гаджет с помощью отпечатка пальца – используйте пароль. Всегда используйте.
- если у вас много аккаунтов и девайсов, нуждающихся в пароле, не ставьте везде одинаковый. Лучше воспользуйтесь службой-приложением для хранения данных, PasswordBox к примеру.
- не пользуйтесь исключительно циферными паролями. Лучше, чтобы в нем были буквы, цифры, знаки, еще и разных регистров.
- пароли на основе простых моделей на клавиатуре (типа QWERTYUIOP или 1QAZ2WSX) вычислить очень легко, они дико популярны, потому что запоминаются механической памятью.
- не используйте свои хобби при составлении паролей – футбол с бейсболом хоть слова и новые в этом году, а все же.
- скажите “НЕТ!” году и дате вашего рождения в пароле. А также датам важных дней в вашей жизни, типа рождения детей, третьего развода или ДР тещи.
- не используйте имена родных и друзей.
- и да – имена популярных артистов и спортсменов, названия брендов и фильмов, а также крылатые выражения тоже входят в список “плохих” паролей, правда, его более расширенной версии.
Так что будьте бдительны и изобретательны. А если вы слишком креативны, а аккаунтов много, все не упомнить, запишите пароли в документ с названием “ДОКУМЕНТ С ВАЖНЫМИ ПАРОЛЯМИ” и будет всем счастье! (конечно же нет). Об этом в докладе ничего не было сказано, но я все же уточню – записывать пароли от банковской карты в блокнотик, который вы постоянно носите с собой, фотографировать и хранить в галерее, записывать на салфеточке и клеить ее на холодильник или на визитке и класть ее в кошелек НЕ СТОИТ. Для этого есть мессенджеры паролей или безграничные чертоги разума, где их стоит хранить. А если вы еще не смотрели, то парочку элементраных правил поведения в интернете, про которые мы иногда забываем, мы напомнили вам вот
Представьте себе: кто-то может влезть в вашу квартиру в реальной жизни или ещё хуже – забраться в голову, прочитать или изменить мысли. Хорошая перспектива? Вы бы постарались защититься от неё?
Аккаунты на сайтах, в социальных сетях, программах – это ваши электронные личности, а пароли – единственный способ защитить их от внешнего воздействия. Но абсолютное большинство людей не уделяют им и доли уважения. Как показала статистика, самые популярные пароли в России настолько просты, что вскрыть их может даже ребенок.
Как поступать не надо
Эта статья, разумеется, написана не для взломщиков-самоучек, а для самых обычных пользователей. Они должны знать, как выглядят такие пароли, и избегать их всеми силами. Есть несколько несколько простых правил, как делать не стоит, если вы хотите сберечь свои аккаунты в неприкосновенности. В противном случае придется потом извиняться перед друзьями и коллегами за разосланный спам и вирусы. Вот наиболее важные правила:
- Один аккаунт – один пароль. На разных аккаунтах пароли должны отличаться. Использование одного – это хорошая помощь взломщикам.
- Чем длиннее – тем лучше. Длина пароля должна быть не менее 8 символов. Лучше – больше 10. Или 12.
- Сила в разнообразии. Сильный пароль должен сочетать в себе не только цифры, но и буквы с символами. По-возможности стоит менять регистр. Запомнить такое, конечно же, сложнее, но и взломать тоже.
- Что написано пером… Самая плохая идея – записать пароль на бумаге и хранить его в кошельке или возле рабочего компьютера. Если вы не в силах удерживать в памяти несколько комбинаций, то лучше использовать специальные программы для их хранения.
- Если пароль имеет смысл – он бессмысленен как пароль. Сакраментальное «девичья фамилия матери», «имя первого питомца» и другие стандартные варианты – с социальными сетями и блогами их защитная способность стала крайне низкой.
Правила, как вы видите, довольно простые, но мало кто соблюдает их. По крайней мере, так утверждает статистика.
Что чаще всего используют в качестве паролей в России
Вы тоже так придумывали пароль?
Лишь малая часть пользователей использует комбинации символов, как и положено. Другие используют осмысленные пароли. И в России чаще всего используют следующие группы:
- Дата рождения. Понятно, что забыть, дату рождения невозможно, но и найти её несложно. Некоторые хитрые товарищи вспоминают про своих детей, родителей, мужей/жен. Немного интереснее, но тоже малоэффективно.
- Номер телефона. Длина такого пароля – его плюс, но отсутствие символов, а главное – простая возможность найти его – большой минус.
- Кличка питомца. Очень популярные пароли, простые для запоминания, но такие же простые и для взлома.
- Сочетания расположенные рядом цифр и букв. Очень частые пароли, о них ещё будем разговаривать отдельно.
- Логичные. Многим пароль «пароль» кажется оригинальным и остроумным решение. Взломщики им за это очень благодарны.
И подобных примеров довольно много. Самые распространенные пароли не отличаются ни изяществом, ни оригинальностью, ни сопротивляемостью вредоносным программам и программистам.
Самые частые варианты в России
Как уже говорилось, чаще всего пользователи в России используют просто сочетания кнопок, расположенных рядом. Это, конечно же, сокращает время на придумывание, запоминание и введение пароля. Но в такой же степень это упрощает и взлом аккаунта. Часто злоумышленникам достаточно перебрать десяток наиболее распространенных ключей, чтобы подобрать нужный. Подобные списки получаются анализом баз аккаунтов на посещаемых сайтах. И вот один из примеров:
- 12345
- 123456
- 11111
- 55555
- 77777
- qwerty
- 111111
- 00000
- 666666
- 123456789
- 123321
- 1234567
- 123123
- gfhjkm
- 7777777
- qwert
- 22222
- 555555
- 33333
Интересно, что такие пароли популярны именно в России. В других странах аналогичный список выглядел бы немного по-иному:
- password1
- abc123
- myspace1
- password
- blink182
- qwerty1
- fuckyou
- 123abc
- baseball1
- football1
- soccer
- monkey1
- liverpool1
- princess1
- jordan23
- slipknot1
- superman1
- iloveyou1
- princess1
- jordan23
Если по нелепой случайности в этом списке вы увидели и свой пароль, советуем немедленно его сменить. Разумеется, если хотите защитить свои персональные данные от злоумышленников. Если нет – поставьте на кошелек Вебмани пароль «123456» и проверьте свою удачу.
На днях весь инет облетела новость, что кто-то украл пароли и илогины юзеров Вконтакте, а потом заботливо выложил их вордовским файлом на всеобщее обозрение. Интересно, как webplanet.ru проанализировала эту информацию. Читаем и меняем свои пароли:)
Из статьи:
... Главным признаком угасания умственных способностей можно считать количество ненадёжных паролей. 1344 человека (или 3,36 процента от 40 тысяч уникальных пользователей) защищают свои персональные данные не только простыми, но и распространёнными паролями (к распространённым мы отнесли те, что встречаются более 10 раз).
Вот двадцатка наиболее популярных из них:
Пароль Кол-во Процент
123456 134 0,34%
123456789 85 0,21%
qwerty 85 0,21%
111111 51 0,13%
1234567890 41 0,10%
7777777 39 0,10%
123321 34 0,09%
666666 33 0,08%
1234567 31 0,08%
123123 29 0,07%
12345678 26 0,07%
qwertyuiop 26 0,07%
qazwsxedc 25 0,06%
000000 23 0,06%
любовь 23 0,06%
555555 22 0,06%
zxcvbnm 22 0,06%
654321 19 0,05%
gfhjkm 19 0,05%
1q2w3e4r 18 0,05%
Примечание 1: Если вдруг кто не догадался, "gfhjkm" - это слово "пароль", набранное в латинской раскладке клавиатуры. Многие считают такой приём очень хитрым.
Примечание 2: Бдительная администрация ресурса с некоторых пор запретила изменять пароли на чисто цифровые, однако создавать новые аккаунты с такими паролями по-прежнему допускается.
Несколько слов о главной болезни интернетозависимых - копипейстинге. Напомним, что в рассматриваемой нами социальной сети в качестве логинов используются электронные адреса. Так вот, у 343 пользователей (0,86%) пароль идентичен логину на почтовом сервисе (т.е. части почтового адреса до "собаки"), а ещё у 67 человек (0,17%) пароль полностью соответствует логину (т.е. всему адресу, включая "собаку" и то, что за ней следует).
Кто был тот умный мужик, который сказал, что святая простота хуже воровства?
Где у него кнопка?
Об одном из популярных паролей, не вошедших в ТОП-20, хотелось бы сказать особо.
На странице настроек, в разделе смены пользовательского пароля, администрация разместила следующую нехитрую инструкцию:
Убедитесь, что не включена кнопка CAPS-Lock
Пароль должен быть не менее 6 символов в длину
Ещё лучше - использовать и буквы, и цифры
"kNOpKA" и "knopka" - разные пароли
Как и следовало ожидать, 16 человек из 40 тысяч (0,04%) выбрали в качестве пароля слово, приведённое в последней строчке. Из них 12 использовали вариант "knopka", 2 - "кнопка" и 1 - "KNOPKA". Ещё одна продвинутая девушка завела себе пароль "ryjgrf", то есть "кнопка" в латинской раскладке.
Казалось бы, 0,04% - ничтожная цифра. Однако в масштабах всего сервиса это уже не 16, а 15600 аккаунтов. И этот ключ заботливо вложила в руки злоумышленникам сама администрация!
Позвони мне, позвони!
Семь с лишним тысяч паролей в рассматриваемой базе - это полностью цифровые последовательности (считающиеся несекьюрными), из которых никак не меньше тысячи (то есть более 2,5%) в той или иной степени напоминают номера телефонов. Стоит отметить, что мы обращали внимание только на семизначные и десятизначные номера, так что эта цифра может быть сильно занижена. Добавьте к ним 237 11-значных паролей, начинающихся на "80" (здоровенькі були, шановнi українські друзі!) и еще десяток телефонопаролей, начинающихся с "+". Если учесть, что вконтактёры с большой охотой публикуют на личных страницах номера телефонов, да и телефонные базы купить не так уж и сложно, считать такие пароли надёжными никак нельзя.
Неплохо? А ведь это мы пока ещё не сказали ни слова о любви.
Любовь откроет все засовы
"Любовь" в том или ином виде присутствует в 332 паролях (0,83%). Сюда вошли также слова "люблю", "любимый", "любимая" и их сочетания с именем собственным. Если цифра в 0,83% вас не впечатляет, приплюсуйте сюда не поддающееся учёту количество паролей с именами (в частности, никнеймами, фамилиями и инициалами) любимой девушки, любимого юноши, а также любимого себя.
Среди паролей с именами встречаются такие криптостойкие как "люблюсережу", "ФамилияИмя" и даже "пусенька" (при электронном адресе, начинающемся с "pusya"). Напомним, что имя любимой или любимого, не говоря уже об имени самого человека, можно без труда взять из анкетных данных непосредственно на сайте.
К сожаленью, день рожденья...
Ещё один тип массово используемых небезопасных паролей - это даты. Действительно, намного труднее забыть пароль, если он совпадает с чьей-нибудь датой рождения. В исследуемой базе мы насчитали по крайней мере 1200 паролей (3 процента от общего числа) в форматах типа ЧЧММГГГГ и ГГГГММЧЧ.
Информация же о дате рождения пользователя или его ближайшего окружения зачастую открыта для ознакомления. Более того, сервис за несколько дней предупреждает друзей пользователя о (грядущем взломе) приближении праздника. Если дата рождения будет всё-таки скрыта, её можно попытаться найти в тех же телефонных базах.
Справедливости ради заметим, что с датой или годом рождения вполне можно создавать и довольно сильные пароли. Достаточно добавить несколько букв до, после или между цифрами. По нашим оценкам, порядка 0,5 процента пользователей так и поступает, хотя некоторые из них портят всё дело, дописывая вместо случайных букв своё имя.
Подсчитали - прослезились
Итого имеем:
Распространённые пароли 1344 3,36%
Предполагаемые номера телефонов ~1300 ~3,25%
"Любовь" (за вычетом вошедшего в п.1) 309 0,77%
Совпадение с электронным адресом
(до "собаки" или полностью) 410 1,02%
Даты рождения (только XX век) ~1200 ~3%
Таким образом, в общей сложности мы имеем до 11,4 процента паролей, взломать которые сможет любой желающий, при условии что он знает электронный адрес пользователя, имеет доступ к его анкетным данным и готов потратить пять минут своего драгоценного времени.
Добавьте к этому пароли, совпадающие с именами собственными (подсчитывать которые нам было лень, но речь идёт процентах о десяти, не меньше) и цифровые пароли, оперативно взламываемые элементарным брутфорсом (их доля, за вычетом номеров телефонов и дат, составляет где-то 11 процентов) - и вы получите удручающую картину.
Ситуация усугубляется тем, что правила сервиса требуют от пользователя выкладывать о себе всю подноготную. Наличие такой массы личных сведений в открытом доступе - просто праздник для потенциального взломщика.
Дисклеймер
Безусловно, в процессе подсчёта нами был сделан целый ряд допущений. Да и исследуемую базу никак нельзя назвать абсолютно достоверной. Например, часть пользователей явно не могла вспомнить своих паролей и просто пыталась их подобрать. А немногочисленные сообразительные юзеры, надо отдать им должное, и вовсе воспользовались формой логина-пароля, чтобы послать фишеров в пешее эротическое путешествие.
Саму выборку, несмотря на её весьма приличный объём, тоже нельзя считать полностью репрезентативной, поскольку речь идёт лишь о пользователях, которые, во-первых, умудрились подцепить заразу, а во-вторых, догадались отдать свои пароли в чужие руки - то есть о людях, заведомо наивных в вопросах безопасности.
Тем не менее, просмотрев другие аналогичные исследования, проведённые в самых разных частях света (если угодно - Google вам в помощь), рискнём предположить, что в своих выводах мы скорее преуменьшили масштабы трагедии, нежели преувеличили.
Огромная база данных сайта для измен Ashley Madison была почти месяц тому назад. Данные 36 млн аккаунтов, включая парольные хеши, стали достоянием общественности. В конце прошлой недели стало известно, что группа парольных взломщиков CynoSure Prime , что 15,26 млн паролей в базе обработано с применением MD5, что на несколько порядков облегчает брутфорс. В итоге, взломав 11,7 млн паролей, хакеры .
Всего CynoSure Prime удалось взломать 11 716 208 паролей.
Среди них уникальных паролей 4 867 246.
Паролей, полностью совпадающих с именем пользователя 630 000.
В основном пароли, используемые пользователями, оказались очень просты. Чаще всего это буквы нижнего регистра с цифрами, или вообще одни только буквы. С другой стороны, хакеры отмечают, что брутфорсили пароли, начиная с самых простых, так что вполне логично, что на выходе таковых оказалось больше всего.
Самый короткий пароль оказался всего 1 символ длиной. Самый длинный – 28 символов. Средняя, наиболее распространенная длина пароля – 6-8 символов.
Также хакеры составили список наиболее интересных и смешных паролей, помимо обычного списка 10\50\100 популярных (то есть повторяющихся чаще всего). Результаты действительно довольно забавные:
Иногда пользователи считают, что чем больше слов, тем лучше пароль:
mypasswordispassword
superhardpassword
thebestpasswordever
thisisagoodpassword
Некоторые сомневаются, стоит ли пользоваться услугами сайта для измен:
ishouldnotbedoingthis
ithinkilovemywife
thisiswrong
whatthehellamidoing
whyareyoudoingthis
cheatersneverprosper
donteventhinkaboutit
isthisreallyhappening
Некоторые пользователи вообще находятся в стадии отрицания:
likeimreallygoingtocheat
justcheckingitout
justtryingthisout
goodguydoingthewrongthing
Наивные пользователи, которые считают
Ashley
Madison
простым сайтом знакомств:
lookingfornewlife
friendswithbenefits
Пользователи, которые верят в безопасность
Ashley
Madison
:
youwillneverfindout
youwillnevergetthis
secretissafewithme
Пароли из
xkcd
(https://xkcd.com/936/)
batteryhorsestaple
correcthorsebatterystaple
Некоторые, похоже, догадываются, что такое
Ashley
Madison
:
nothingfound
theywererobots
nobodyhere
Просто забавное:
everynameitriedwastaken
allthegoodpasswordshavegone
lickemlikeshelikesit
lildickinyourpussyn0w
satisfactionwithlicking
blackfromthewaistdown
smalldickbuthardworker
Впрочем, «скучный список", то есть Топ-100 паролей, взломщики опубликовали тоже. В данном списке ничего смешного уже нет, здесь все предсказуемо примитивно и плохо:
Пароль | Количество использований |
123456 | 120511 |
12345 | 48452 |
password | 39448 |
34275 | |
123456789 | 26620 |
qwerty | 20778 |
12345678 | 14172 |
abc123 | 10869 |
pussy | 10683 |
1234567 | 9468 |
696969 | 8801 |
ashley | 8793 |
fuckme | 7893 |
football | 7872 |
baseball | 7710 |
fuckyou | 7458 |
111111 | 7048 |
1234567890 | 6572 |
ashleymadison | 6213 |
password1 | 5959 |
madison | 5219 |
asshole | 5052 |
superman | 5023 |
mustang | 4865 |
harley | 4815 |
654321 | 4729 |
123123 | 4612 |
hello | 4425 |
monkey | 4296 |
000000 | 4240 |
hockey | 4191 |
letmein | 4140 |
11111 | 4077 |
soccer | 3936 |
cheater | 3908 |
kazuga | 3871 |
hunter | 3869 |
shadow | 3831 |
michael | 3743 |
121212 | 3713 |
666666 | 3704 |
iloveyou | 3671 |
qwertyuiop | 3599 |
secret | 3522 |
buster | 3402 |
horny | 3389 |
jordan | 3368 |
hosts | 3295 |
zxcvbnm | 3280 |
asdfghjkl | 3174 |
affair | 3156 |
dragon | 3152 |
987654 | 3123 |
liverpool | 3087 |
bigdick | 3058 |
sunshine | 3058 |
yankees | 2995 |
asdfg | 2981 |
freedom | 2963 |
batman | 2935 |
whatever | 2882 |
charlie | 2860 |
fuckoff | 2794 |
money | 2686 |
pepper | 2656 |
jessica | 2648 |
asdfasdf | 2617 |
1qaz2wsx | 2609 |
987654321 | 2606 |
andrew | 2549 |
qazwsx | 2526 |
dallas | 2516 |
55555 | 2501 |
131313 | 2498 |
abcd1234 | 2489 |
anthony | 2487 |
steelers | 2470 |
asdfgh | 2468 |
jennifer | 2442 |
killer | 2407 |
cowboys | 2403 |
master | 2395 |
jordan23 | 2390 |
robert | 2372 |
maggie | 2357 |
looking | 2333 |
thomas | 2331 |
george | 2330 |
matthew | 2298 |
7777777 | 2294 |
amanda | 2273 |
summer | 2263 |
qwert | 2263 |
princess | 2258 |
ranger | 2252 |
william | 2245 |
corvette | 2237 |
jackson | 2227 |
tigger | 2224 |
computer | 2212 |