Топ 30 наиболее часто используемых паролей

Собрал статистику по паролям с одного проекта с количеством регистраций ~140к.

ТОП 10

  1. 12345 (4388)
  2. 123456 (2517)
  3. 11111 (1219)
  4. 55555 (1172)
  5. 77777 (589)
  6. qwerty (459)
  7. 111111 (439)
  8. 00000 (325)
  9. 666666 (324)
  10. 123456789 (302)

В сумме это дает 11734 регистраций, или 8,4% от общего числа. Плюс еще у 5590 (4,0%) пользователей пароль совпадает с логином.

Вдумайтесь в эти цифры. У примерно 12% пользователь очень простые пароли. Ужасно простые. И не думаю, что на других сервисах цифры будут особо отличаться.

Каждую десятую анкету можно взломать простым перебором. А ведь избежать этого очень просто. При регистрации не давайте пользователю выбирать такой простой пароль или пароль совпадающий с логином. Плюс введите таймаут между попытками ввода пароля, хотя бы секунд 20. Пользователь это даже не заметит, а жизнь злоумышленника станет сложнее.

ОСТАЛЬНЫЕ 20

  1. 54321 (298)
  2. 123321 (298)
  3. 1234567 (285)
  4. 123123 (284)
  5. gfhjkm (283)
  6. 7777777 (269)
  7. qwert (258)
  8. 22222 (225)
  9. 555555 (214)
  10. 123 (210)
  11. 33333 (188)
  12. 99999 (185)
  13. 000000 (171)
  14. 654321 (169)
  15. 777777 (163)
  16. 88888 (156)
  17. 66666 (152)
  18. 1234567890 (145)
  19. 112233 (139)
  20. ghbdtn (138)

Кто не догадался: gfhjkm это «пароль», а «ghbdtn» привет.

P.S. Лет 7 назад лично писал простенький скрипт на PHP, который парсил список пользователей онлайн в чате и пытался коннектиться под ними примерно по такому же списку с паролями. Из 70−100 человек практически всегда 4−8 взламывались, а потом можно было писать от их лица в общий чат или приват.

Теги: , ,

Еще по теме

Posted on сентября 19, 2007 
Filed Under Проектирование и разработка сайтов

«« Личный дневник
Кто бывает на Хабрахабре? »»

Понравилось?

Комментарии

Всего комментариев: 40

  1. Alexander - сентября 19, 2007 15:19

    Могу подтвердить статистику, не только в России так всё плохо. :)

  2. Денис Болтиков - сентября 19, 2007 15:36

    Среди англоязычных пользователей вроде очень популярен пароль letmein. Саша, это правда? )

  3. Alexander - сентября 19, 2007 16:07

    Это статистика с очень крупного сайта. Прослеживается в паролях, к стати, тематика сайта.

    | password | 999 | | 123456 | 990 | | Princess | 416 | | Smith | 361 | | Love | 322 | | JOHNSON | 311 | | STAR | 254 | | Williams | 253 | | iloveyou | 246 | | acting | 241 | | 1234 | 238 | | babygirl | 231 | | Nicole | 229 | | dancer | 225 | | Ashley | 219 | | Taylor | 216 | | sunshine | 216 | | jones | 209 | | Brown | 208 | | JORDAN | 207 | | JUSTIN | 203 | | model | 190 | | monkey | 182 | | thomas | 182 | | Miller | 178 | | michael | 178 | | SINGER | 175 | | michelle | 171 | | superstar | 166 | | purple | 162 | +----------+ | count(*) | +----------+ | 230356 | +----------+

  4. Дима Сергеев - сентября 19, 2007 18:04

    О, классный список. Жаль только, что почти все такие акки наверняка не слишком ценные...

  5. jeka911 - сентября 19, 2007 22:04

    Если есть доступ к дате рождения, тоже можно промчаться по разным форматам.

    ddmmyy, ddmmyyyy, mmddyy ...

  6. Yuriy - сентября 20, 2007 00:50

    Было бы ограничение на длину пароля 6 символов, 123456 был бы безоговорочным лидером с неимоверным отрывом :))

  7. Alexander - сентября 20, 2007 10:43

    Сайт футбольной тематики в Нигерии. ;)

    5605 Пользователей.

    123456 60

    arsenal 39

    chelsea 31

    london 23

    school 21

    sunday 19

    password 18

    success 17

    football 16

    nigeria 16

    adeola 16

    favour 16

    EMMANUEL 16

    lovely 16

    united 15

    computer 15

    loveme 14

    joseph 13

    samuel 12

    1234567 12

    damilola 12

    iloveu 12

    rooney 12

    olamide 11

    master 11

    samson 11

    opeyemi 11

    ronaldo 10

    monday 10

    mother 10

  8. lusever - сентября 20, 2007 17:14

    Самый частый пароль это никнэйм юзера.

  9. Роман Настенко - сентября 21, 2007 08:57

    Да, на многих платных сервисах можно заработать, просто взламывая аккаунты пользователей перебором 10 самых распостраненных паролей…

  10. Гаврилюк Дмитрий - сентября 21, 2007 12:45

    У меня есть тоже аки с такими пассами. Это такие аки, которые я регаю на один раз — скачать файл, прокомментировать в одной теме на форуме и т.д. Так что подобные куверти по сути бесполезны. Разве что собрать крохи инфы о человеке :)

  11. Денис Болтиков - сентября 21, 2007 15:46

    То что так поступаешь ты совершенно не значит что для других аккаунты с такими паролями тоже одноразовые.

  12. Сергей - сентября 21, 2007 17:12

    А чего это вы у себя пароли, а не хэши храните?

    Нехорошо!

  13. Денис Болтиков - сентября 22, 2007 11:16

    2Сергей

    Да, нехорошо. Но есть такая необходимость.

  14. Гаврилюк Дмитрий - сентября 22, 2007 13:42

    Вот у меня были 8−12 значные пароли на фтп, управление сайтом, аську. Меня протроянили и все — жопа. Так что юзайне антивирь :-)

    По теме — не используйте какие либо слова в пароле. Есть специальные библиотеки для перебора

  15. Денис Болтиков - сентября 22, 2007 14:24

    2Гаврилюк Дмитрий

    Зато такие запоминаются легко...

    Я предпочитаю использовать или фразы в пароле, или русское слово набранное в латинской раскладке.

  16. sonika - сентября 23, 2007 13:54

    Ох*еть! Других слов просто нет :)

  17. Миша Квакин - сентября 23, 2007 22:19

    Но есть и товарищи (вроде меня) с парольной паранойей; когда пароль такой, что голова пухнет вспоминать, а записывать — не записываю, всилу всё той же паранойи...

  18. Денис Болтиков - сентября 23, 2007 22:21

    Есть специальные софтины с шифрованием. К ней суперсложный пароль, а там внутри все лежат в открытом виде.

  19. Hell - сентября 24, 2007 17:59

    А я считала, что использую очень простой пароль для не очень важных мне регистраций! :) А оказывается бывает еще более примитивно ;)

    Хотя по идее любой пароль, который существует хотя бы у 2-х пользователей уже далек от защищенного. :)

  20. Валентин - сентября 25, 2007 14:55

    Да, это жесть))

    Кстати я сам использую один из паролей первой двадцатки в тех случаях, когда это некритично, например, на домашнем компьютере :))

    Но здесь есть и другая проблема: как на каждом сайте использовать уникальный для этого сайта сложный пароль?...

    Ну один-два сложных пароля еще можно запомнить, другой вариант — формировать их в зависимости от тематики сайта по некоему алгоритму, но даже в этом случае паролей будет не больше десятка. И если кто-нить получит один из таких паролей или его свертку с неблагонадежного сайта, то все остальные сайты с этим паролем тоже улетят в трубу)

  21. Yuriy - сентября 25, 2007 15:45

    А я использую keepass.info/ Очень полезная штука, всем советую.

  22. Megos - сентября 25, 2007 17:58

    А я как-то придумывал разные пароли и потом забыл от вебмани, когда там денег было прилично :))) Теперь не сильно хитрые придумываю, но все равно разные :)

  23. Блог интернет-разработчика » Взлом аккаунтов: всё проще - сентября 26, 2007 13:10

    [...] Дениса Болтикова “Топ 30 наиболее часто используемых паролей” натолкнула меня на некоторые [...]

  24. Сергей - сентября 26, 2007 14:47

    Я тоже как то раз забыл пароль от веб мани... Ну а обычно использую пароль как миниум из 8 символов, чтобы подбор рулил как можно меньше.

  25. werder - октября 1, 2007 13:28

    Да, как правило, в этих акках нет ценной информации, но бывают и исключения. Правда, сколько это времени займет... Но кому надо, то не полениться. Я и сам на некоторых форумах использую 123456 :)))

  26. Белый - октября 1, 2007 15:41

    Да эти пароли одни из самых часто используемых.

    А вот насчёт неценности акков, то это не факт.

    Помнится на одном форуме у админов были такие пароли. Причём форум немаленький-провайдера интернет=)

  27. Dr_midon - октября 3, 2007 00:23

    Я думаю можно придумывать пароли исходя из названия ресурса. Например данный можно расценивать как denis.boltikov.ru и пароль по большому счету на ресурсе нужен один.

    можно соответственно названию кодировать различными способами:

    вутшыюищетшлщмюкг — русская расскладка

    64 65 6E 69 73 323 62 6F 74 6E 69 6B 6F 76 — номер символа в charmap.exe

    45E932F4E9BF6 — используя только последнюю цифру можно сократить и пароль

    ur.vokitlob.sined — меняя местами первую букву на последнюю.

    таким макаром можно придумать себе один рецепт и его везде использовать. Не надо придумывать себе проблему каджый раз, придумай алгоритм ее решения и пользуйся! :)

  28. Гаврилюк Дмитрий - октября 10, 2007 01:25

    Достаточно спалить хоть гдето этот нехитрый рецепт, и остается только узнать, где у тебя есть акки. Юзаю алгоритм «закрытых глаз и Блокнота», результат переписываю на листочек.

    З.Ы. Злостного агента-хакера у себя дома еще не наблюдал :)

  29. Dr_midon - октября 11, 2007 16:54

    Обычно наоборот делают! Конечно, если не пытаешся конкретного пользователя везде наколоть.

    Тоесть надобно кому-то залезть куданибудь... а регистрация сложная/невозможная(хочеш взять себе шестизнак для ICQ)... то перебирают именно пользователей, а пароль берут отсюда например :)

  30. Sveta - октября 19, 2007 02:06

    Наверняка существуют программы взламывающие пароли... у меня два классных и красивых ящика на mail.ru и russian.ru со сложными паролями уперли , хотя тепрь сами , наверно, не рады, там спаму умотаться (короткие были и звучные )

  31. seloa - октября 31, 2007 19:06

    Самый простой и надежный способ — 3−4 пароля.

    Один для всей лабуды в интернете, остальные по работе.

    Столько подборов любая прога допускает, и ничего запоминать не надь!

  32. Кержаков - ноября 9, 2007 00:22

    Я часто использую легкие пароли для форумов, на котрых регаюсь для пары фраз. А для чего то ценного конечно использую только то, что подбором будет не взять.

  33. Алексей Д. - ноября 19, 2007 21:49

    Уважаемые коллеги по счастью! А вам не кажется, что этим постом и комментариям к ним вы открываете невероятные просторы для забав всевозможным блондиночкам в нежном возрасте и их кавалеров? )

  34. Алексей Д. - ноября 19, 2007 21:52

    Кстати, подписался на блог и буду читать, ибо Роман Настенко плохого не посоветует. :)

    Свой блог я ещё не перенёс на стенделон, и он пока на ЖЖ

  35. Денис Болтиков - ноября 19, 2007 23:26

    Алексей, ЖЖ хорошо для личных дневниковых записей. Я вот хочу на днях реанимировать свой дневник в ЖЖ. А standalone больше подходит для профессиональных целей или чего-то тематического.

  36. Денис Болтиков - ноября 19, 2007 23:28

    А по поводу «открываем двери». В ручную это очень нудно, а автоматизировать они все равно не смогут. А те кто смогут, это информацию и так знают, или могут найти :)

  37. GooDZonE - ноября 20, 2007 19:46

    […] Денис Болтиков опубликовал у себя на блоге: Топ 30 наиболее часто используемых паролей[…]

  38. IdeaLog - ноября 21, 2007 05:21

    День рождения человека и номер его телефона однозначно в топ5 будут.

  39. quent - декабря 9, 2007 08:16

    А что за необходимость такая хранить пароли в открытом виде? Не тайна?

  40. anonymous - июня 11, 2008 17:29

    Автору респект )) набрутил девяток ICQ по этим паролям и теперь атакую с них флудом )))

Комментарии закрыты.

Тема Vertigo Blue Theme от Brian Gardner.
Движок WordPress.

Рейтинг блогов