Пользователь
0,0
рейтинг
12 июня 2012 в 06:33

Разработка → 30 наиболее популярных паролей, украденных с LinkedIn


Тема утечки паролей популярного сервиса все никак не утихнет на просторах Интернет. Компания Rapid7 провела анализ 165000 хешей и составила инфографику самых популярных.

Вполне ожидаемо на первом месте оказлся пароль «link» — 941 раз.

Количество цифровых паролей обратно пропорционально их «сложности»:
«1234» — 435 паролей
«12345» — 179 паролей
«123456» — 76 паролей
«1234567» — 28 паролей

Учитывая направленность ресурса, не удивительна популярность паролей «work» (294), «job» (205) и «career» (26).

Религиозные пользователи довольно часто отражают это и в своих паролях: «god» (214), «angel» (176), «jesus» (95).

Ну и конечно же стандартный набор для Интернет: «sex» (119), «fuck» (85), «bitch» (65) и «dick» (60).

Любопытны так же пароли «michael» (52) и «jordan» (48) — то ли имена собственные, то ли в честь известного баскетболиста.


Картинка кликабельна

Источник: Rapid7
Евгений Писарев @Myrddin
карма
16,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (72)

  • +8
    Пара процентов людей, которые не заботятся о своей приватности, не беда.
    • +19
      6.46 million passwords,
      3.7 already cracked.
    • +15
      Часто аккаунт необходим только для просмотра сайта, его ценность нулевая. Для этих целей подойдет любой пароль, чтобы отстали.
      • –7
        Безответственное поведение — такие аккаунты брутят и используют, например, для рассылки спама.
        • +15
          Безответственное поведение — это разрешение легких паролей, наличие возможности брутить. Если свобода действий оставлена, то пользователь будет делать так как ему удобно. Хабр, например, с капчей на логине.
          • –3
            С другой стороны, Хабру не нужна аудитория в миллиарды глупых хомячков, а при сложной регистрации (да, хомячкам лень вводить капчу и подтверждать регистрацию по емайлу), половина домохозяек забьет.
      • 0
        Как правило простой люд один и тот же пароль ставит на разных ресурсах, в т.ч. и на почту.
      • 0
        Часто мыл и пароль к тому самому сайту являются мылом и паролем ко всем остальным ресурсам.
        Зачастую важным.
  • +14
    Ни разу не пользовался LinkedIn, но блин, они что, серьезно разрешали пользователям выбирать пароли из 3-х символов и последовательных цифр? Не удивительно, что с таким подходом к безопасности их хакнули.
    • НЛО прилетело и опубликовало эту надпись здесь
    • +4
      Даже хуже: когда я там регистрировался (около года назад) — длинна пароля вообще никак не проверялась. Ну т.е. я вбил в регистрационную форму нормальный такой, длинный пароль, а залогинится с ним уже не смог. Оказалось, что из 30 введеннных символов, запомнились в виде пароля, только 16 первых. И никаких предупреждений. Такие дела.
    • +3
      Странное дело с этими проверками:
      * либо вообще ничего не проверяют
      * либо считают, что это их собачье дело говорить мне, что в моем пароле обязаны быть большие и маленькие буквы, знаки препинания, числа и парочка символов из шумерского алфавита

      Мне лично кажется, что эта часть вообще ни у кого проработана.
      • +1
        Ещё лучше когда говорят чего в пароле не должно быть!
        • +1
          Не сильно лучше, когда говорят, что должно быть a-zA-Z0-9
          В результате пытаешься нормальный пароль со спецсимволами впихнуть — а система таки да делает свою проверку =(
          зы: Личный опыт на каком-то сайте (на каком не помню, долго на нем не задержался)
          • 0
            Собственно это тоже самое. Из крупных минимум rambler.ru таким страдает(л?).
      • +2
        Можно выводить предупреждение типа «слишком простой пароль».
        Если пользователь проигнорил, то это хотя бы его осознанный выбор, а заставлять насильно использовать сложный пароль уместно только для ограниченного круга сайтов, например для банковских.
        • +1
          Да, мне даже кажется, что можно делать более комплексно:
          * ежели твой пароль входит в сотню-тысячу самых подбираемых — запрещаем такой пароль и нормально это объясняем в сообщении об ошибке.
          * если твой пароль просто плохой (совсем маленький, без цифр и т.п.) — выдаём предупреждение, но всё-таки разрешаем создать учетку.
          • 0
            «Извините, ваш новый пароль уже использует пользователь Вася, придумайте другой пароль»
          • 0
            Да, так даже лучше, единственный минус в том, что придётся написать подробную статью на тему распространённых паролей с отсылкой к статистическим данным. А то найдутся пользователи, которые даже запрет 100 самых популярных паролей сочтут самоуправством… Кстати, интересно какая будет вероятность ситуации, когда пользователь 3 раза пытается задать пароль и каждый раз попадает на легко подбираемый :-)
  • +6
    А почему слово «dick» зацензурено?
    Это все равно, что цензурить «чл*н».
    Это нормально в 13 лет, но вот взрослому человеку в такой ситуации наверняка нужна помощь.
    • –2
      Нюанс в том, как переводить.
      • +1
        С таким подходом произведение Moby Dick заиграет новыми красками.
    • +9
      Когда потребность в обсценной лексике превышает возможности языка, люди ставят звездочки в неожиданных местах.
      • 0
        Тут вы правы, даже слово Cat можно истолковать непристойно) Кто не догадался — загляните в Lingvo, очень удивитесь.
    • +3
      Если что, дик — есть имя в америке, так что даже с членом сравнивать наверно не стоит =)
      • 0
        Richard «Dick» Feynman, если не ошибаюсь :)
        • 0
          любой Ричард потенциально Дик, это уменьшительное, это нормально)
      • 0
        В русском языке слово член тоже используется в первую очередь для обозначения части чего-либо.
        Поэтому меня и удивляет «запикивание» в обоих ситуациях.
        • +1
          Представляете, как сложно некоторым в школе, на алгебре, с её «одночленами» и «многочленами» было…
          • 0
            Как в анекдоте про Петьку и В.И.Ч.

            — Да попросили изобразить квадратный трёхчлен, а я даже представить себе такое не могу…
    • +3
      «Член» — это «penis». А «dick» — это скорее «х*р» ;)
      • +7
        Ну что за политкорректность? «dick» это скорее «х*й»

        P.S. У меня сотрудник есть, и он предпочитает, чтобы его звали Dick а не Richard. Взрослый уже дядька, за 50.
      • +4
        «Член» — это «member» или «part» в первую очередь.
        А «голубой» в первую очередь означает цвет.
    • 0
      dick — сыщик, детектив (US), клятва, обещание (сокращение, declaration)
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Да, как-то ирония не чувствуется :)
      Спасибо, исправил.
      • 0
        Я бы не злоупотреблял выделением кавычками слов в ироническом значении. Это как рассказать анекдот, а потом начать объяснять его смысл.
  • 0
    Кто-нибудь знает, где можно посмотреть какие пароли были взломаны? Интересно посмотреть, попал ли мой в их число. Проверял хэш на сайте leakedin.org/, но он пока не числится в числе взломанных.
    • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      • 0
        Это у меня есть. Меня интересуют именно те «3,7 million hashes already cracked».
        • 0
          Они там же, в том же файле, у взломанных первые 5 символов хеша забиты нулями.
          Ну чтобы их получить понятное дело нужно взять словарь побольше и побрутить…
          • 0
            Действительно, в файле 3'521'256 взломанных хэшей, что очень близко к 3,7 млн.
    • 0
      Мне кажется, или ты добавил к этим 3,7 млн еще один хакнутный пароль введя его на этом сайте?!=)
      • 0
        Сайт производит хэширование на стороне клиента (SHA-1 реализован в JavaScript), то есть пароль не передаётся.
        Можно вместо пароля сразу указывать хэш, что я и сделал.
  • 0
    Мой старый пароль линкедина — 8 golf MIKE charlie BRAVO papa ROMEO foxtrot 7 x-ray romeo 0 1 uniform ROMEO victor (фонетика)
    ждем расшифровку ;)
    • +1
      Мой сайт сказал бы — слабый пароль, потому что:
      * пароль начинается с цифры
      * нет спецсимволов
      • +2
        Тоже правда.

        Но я не люблю когда мне говорит сайт, какой пароль ставить. Раздражает одним словом такая забота. Уживаюсь только с е-банками.
        • +2
          Особенно бесят, когда ставят довольно странные ограничения — например обязательно должна быть цифра, но НЕ должно быть спецсимволов. Как пример, тот же lj.ru
          • 0
            Со спецсимволами — беда. Почему из запрещают для меня, лично, большой вопрос. Может, я хочу использовать в пароле символ вроде 0xAE (с клавиатуры не наберешь) — мое личное дело.

            Бесит еще, что о том, что пароль «неверный» узнаешь только нажав submit. Догадались? Все поля тутже очищаются, капча новая… FFUUUU эффект в чистом виде.
            • 0
              Со спецсимволами — беда. Почему из запрещают для меня, лично, большой вопрос. Может, я хочу использовать в пароле символ вроде 0xAE (с клавиатуры не наберешь)

              Прикольнее когда задать необычные символы можно, но потом либо такой пароль/ник не будет работать вообще, либо (в случае ника) будет выводиться неправильно (например в виде экранированного кода). Я так попадал один раз с паролем, один раз с ником.
              • +1
                А ещё веселее когда зарегился и всё вроде ok, а через какое-то время там накатывают какой-нибудь апдэйт или врубают какие-нибудь более параноидальные опции рантайма, активирующие неучтённую программистами экранировку, и на этот эккаунт внезапно становится невозможно залогиниться.
      • +2
        Странный у Вас сайт. Т.е. пароль из 10-ти символов, без первой цифры и с одним спец-символом Вы сочли бы надежным, а пароль из 16-ти символов с первой цифрой и без спец-символа — нет?
        • +2
          Какая вообще разница, какой первый символ? Да, если первая — цифра, то можно предположить, что и все остальные тоже. Но ведь именно так можно пустить брутфорсер по ложному следу, не? Чем пароль типа «54Gk%w(Š-gFuйddM_» хуже «M4Gk%w(Š-gFuйdd5_»?
      • +3
        я не думаю, что ваш сайт в этом случае будет прав
      • 0
        Дефис в «x-ray» не спецсимвол? А чем вам первая цифра не угодила?
  • +2
    Странно что нет QWERT и QWERTY.
    • 0
      Мозгов не хватило.
    • 0
      Есть там qwerty и qwerty123. Просто не так много 8)
    • 0
      Странно, что нет 1234567890. Я лично ставил такой пароль в паре мест (где в общем пофигу, но просто 123 поставить инстинкт таки мешает).
      • 0
        Может они в топ 50 входят, а тут только 30.
      • 0
        Есть там в дампе и хэш от 1234567890 )
  • –2
    Я правда это вижу? Картинка больше метра весом прямо в теле поста?
    • 0
      Та да, как-то отвык трафик считать.
      Пережал.
  • –1
    Меня удивляет то, что система регистрации (или обновления пароля в уже существующем аккаунте) пропустила такие простые слабые пароли. Это о многом говорит про сайт и про его систему безопасности пользователей.
  • 0
    Удивляет, что в списке нет PASS или qwerty )
  • –2
    Скажу по личному опыту.
    Одно время ставил «средненькие пароли» (6-8 символов без заморочек).
    Когда мне взломали почту, сразу изменил свой подход к этому вопросу. Теперь все оценщики стойкости паролей говорят «Very strong» в противовес старому «Normal».

    Т.е. это я к чему — самое главное уже озвучено: извлечь урок.
    Я более чем уверен, что большинство «обычных пользователей» и понятия не имеет, что утекают такие базы.
    Но те, что знают и умеют извлекать урок из своих и чужих ошибок — обязательно сделают выводы. Т.е. какой-то «положительный» (прошу не прикапываться к этой фразе) момент также есть.

    Хотя… как показывает практика, большая часть людей ничему не учится на ошибках.
    • 0
      Любопытно, за что минусовали-то?
  • 0
    Бесполезный анализ. В общем-то и так очевидно, какие пароли самые слабые — какая разница сколько их.

    Да и всего 3.7 миллиона сломали из 6.5 (в реальности и того меньше 5.8, из-за дубликатов).

    Завтра постараюсь подготовить анализ самых «сложных» из найденных паролей и выложу обновленную версию MD5Blast, теперь с поддержкой SHA1.
  • 0
    Мне кажется, что общество скоро наткнется на проблему с паролями.
    1. Я уже (и, думаю, не только я) не могу вспомнить, какой и где я сохранял пароль. Получается, что нужно использовать один пароль для нескольких ресурсов. В чем тогда смысл пароля?
    2. Дальше больше. Многие ресурсы позволяют использовать открытую учетную запись вроде google. Так какой смысл в пароле вообще, если один раз ввел и потом им пользуешься?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.