Пароли могут быть популярными. И ненадежными

Российский сервис разведки утечек данных и мониторинга даркнета DLBI провел ежегодное исследование наиболее популярных у интернет-пользователей паролей.

В исследовании, проводимом с 2017 года, было проанализировано 35,5 млрд пар логин-пароль, из которых 5,36 млрд были уникальными. По результатам 2021 года было выделено более 250 млн новых пар логин-пароль, которые ранее не встречались в каких-либо утечках.

Источниками данных для исследования послужили сообщества энтузиастов, занимающихся восстановлением паролей из хешей, такие как, например, hashmob.net, а также теневые форумы, где массовые утечки выкладываются в открытый доступ. Эти данные были очищены от «мусора» (пустых и повторяющихся записей), а также автоматически сгенерированных учетных данных ботов.

В исследование, в частности, вошли такие крупные утечки, как данные пользователей P2P-сети для обмена файлами imesh.com (44 млн записей), китайского литературного ресурса readnovel.com (42 млн записей), российского сервиса анонимных вопросов и ответов sprashivai.ru (25 млн записей), онлайн-сообщества писателей и читателей wattpad.com (23 млн записей), а также сервиса создания онлайн-викторин dailyquiz.me (22 млн записей).

На момент исследования в базе находилось:

  • 5 362 581 573 паролей всего (+5% в сравнении с 2020 годом)
  • 894 691 158 паролей, содержащих только цифры (+5, 5% в сравнении с 2020 годом)
  • 1 380 701 190 паролей, содержащих только буквы (+3,3% в сравнении с 2020 годом)
  • 14 470 812 паролей, содержащих кириллические символы (+8,14% в сравнении с 2020 годом)
  • 195 647 440 паролей, содержащих буквы, цифры и спецсимволы (+14,25% в сравнении с 2020 годом)
  • 1 139 217 369 паролей из 7 и менее символов (+4,4% в сравнении с 2020 годом)
  • 3 472 273 173 паролей из 8 и более символов (+5,2% в сравнении с 2020 годом)
  • 890 164 009 паролей из более 10 символов (+5,9% в сравнении с 2020 годом)

Среди самых популярных паролей за все время исследования: 123456, 123456789, qwerty123 (ранее был на 7 месте), qwerty (ранее занимавший 3 место), 12345 (ранее занимавший 4 место), qwerty1, password (ранее был на 5 месте), 12345678 (ранее занимавший  6 место), 1q2w3e ( ранее занимавший 8 место), 111111 (ранее занимавший 9 место).

А так выглядит десятка самых популярных паролей из утечек 2021 года:  qwerty123, qwerty1, 123456 (занимавший первое место по итогам 2020 года), a11111, 123456789 (ранее был на 2 месте), 111111 (был на 3 месте), 112233, 12345678 (занимавший по итогам 2020 года 5 место), 12345 (был на 7 месте) и 000000 (был на 9 месте).

В ходе этого исследования впервые были отдельно проанализированы пароли для учетных записей в доменных зонах .RU и .РФ, в которых в качестве логинов использовались соответствующие адреса электронной почты. Всего было обработано 1 483 586 769 учетных записей, а список самых популярных паролей составили: 123456, qwerty, 123456789, 12345, qwerty123, 1q2w3e, password, 12345678, 111111, 1234567890.

При этом топ паролей из утечек 2021 года по российским доменным зонам состоял из qwerty123, qwerty1, 123456, asdasd, 12345, 123456789, asdasd123, 12345678, qwerty и 123321.

В традиционный топ самых популярных кириллических паролей вошли: йцукен, пароль, любовь (поднявшийся с 4 места), привет (в прошлом году занимавший 5 место), наташа (перешедший с 6 места), максим (упавший с 7 места), марина (поднявшаяся с 9 позиции),  люблю, андрей (занимавший 10 место) и кристина.

Комментируя результаты исследования, основатель DLBI Ашот Оганесян отметил, что полученные данные в очередной раз подтверждают, что значительная часть пользователей достаточно легкомысленно относится к используемым паролям, и за прошедший год ни доля сложных (содержащих буквы, цифры и спецсимволы), ни доля длинных (более 10 символов) паролей практически не изменилась, оставшись на уровне 3,5% для первых и 16,5% для вторых.

«При этом возможный ущерб от подбора паролей даже для физических лиц с каждым годом возрастает. Очень часто, получив доступ, например, к электронной почте злоумышленники могут сбросить пароль к онлайн-банку или сервису Госуслуги, попытавшись обойти двухфакторную аутентификацию с помощью социальной инженерии. И это если SMS-подтверждение у них вообще включено, что для тех же Госуслуг далеко не правило, — рассказал Ашот Оганесян. — Также большой проблемой остается то, что многие сервисы, в которых пользователи регистрируются с собственным паролем, используют для его хранения слабые и устаревшие алгоритмы хеширования, а некоторые даже хранят пароли в открытом виде, что позволяет легко получить к ним доступ при случайной утечке или взломе».

О компании

DLBI (Data Leakage & Breach Intelligence) – российский сервис разведки уязвимостей и утечек данных, а также мониторинга мошеннических ресурсов в DarkNet. DLBI предлагает анализ внешней серверной инфраструктуры с выявлением недостатков реализации хранения, а также  мониторинг предложений о продаже чувствительных данных на различных закрытых площадках, группах Telegram и мошеннических ресурсах в DarkNet.

 

Похожие записи