30 наиболее популярных паролей, украденных с LinkedIn


    Тема утечки паролей популярного сервиса все никак не утихнет на просторах Интернет. Компания Rapid7 провела анализ 165000 хешей и составила инфографику самых популярных.

    Вполне ожидаемо на первом месте оказлся пароль «link» — 941 раз.

    Количество цифровых паролей обратно пропорционально их «сложности»:
    «1234» — 435 паролей
    «12345» — 179 паролей
    «123456» — 76 паролей
    «1234567» — 28 паролей

    Учитывая направленность ресурса, не удивительна популярность паролей «work» (294), «job» (205) и «career» (26).

    Религиозные пользователи довольно часто отражают это и в своих паролях: «god» (214), «angel» (176), «jesus» (95).

    Ну и конечно же стандартный набор для Интернет: «sex» (119), «fuck» (85), «bitch» (65) и «dick» (60).

    Любопытны так же пароли «michael» (52) и «jordan» (48) — то ли имена собственные, то ли в честь известного баскетболиста.


    Картинка кликабельна

    Источник: Rapid7
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 72
    • +8
      Пара процентов людей, которые не заботятся о своей приватности, не беда.
      • +19
        6.46 million passwords,
        3.7 already cracked.
        • +15
          Часто аккаунт необходим только для просмотра сайта, его ценность нулевая. Для этих целей подойдет любой пароль, чтобы отстали.
          • –7
            Безответственное поведение — такие аккаунты брутят и используют, например, для рассылки спама.
            • +15
              Безответственное поведение — это разрешение легких паролей, наличие возможности брутить. Если свобода действий оставлена, то пользователь будет делать так как ему удобно. Хабр, например, с капчей на логине.
              • –3
                С другой стороны, Хабру не нужна аудитория в миллиарды глупых хомячков, а при сложной регистрации (да, хомячкам лень вводить капчу и подтверждать регистрацию по емайлу), половина домохозяек забьет.
            • 0
              Как правило простой люд один и тот же пароль ставит на разных ресурсах, в т.ч. и на почту.
              • 0
                Часто мыл и пароль к тому самому сайту являются мылом и паролем ко всем остальным ресурсам.
                Зачастую важным.
            • +14
              Ни разу не пользовался LinkedIn, но блин, они что, серьезно разрешали пользователям выбирать пароли из 3-х символов и последовательных цифр? Не удивительно, что с таким подходом к безопасности их хакнули.
              • НЛО прилетело и опубликовало эту надпись здесь
                • +4
                  Даже хуже: когда я там регистрировался (около года назад) — длинна пароля вообще никак не проверялась. Ну т.е. я вбил в регистрационную форму нормальный такой, длинный пароль, а залогинится с ним уже не смог. Оказалось, что из 30 введеннных символов, запомнились в виде пароля, только 16 первых. И никаких предупреждений. Такие дела.
                  • +3
                    Странное дело с этими проверками:
                    * либо вообще ничего не проверяют
                    * либо считают, что это их собачье дело говорить мне, что в моем пароле обязаны быть большие и маленькие буквы, знаки препинания, числа и парочка символов из шумерского алфавита

                    Мне лично кажется, что эта часть вообще ни у кого проработана.
                    • +1
                      Ещё лучше когда говорят чего в пароле не должно быть!
                      • +1
                        Не сильно лучше, когда говорят, что должно быть a-zA-Z0-9
                        В результате пытаешься нормальный пароль со спецсимволами впихнуть — а система таки да делает свою проверку =(
                        зы: Личный опыт на каком-то сайте (на каком не помню, долго на нем не задержался)
                        • 0
                          Собственно это тоже самое. Из крупных минимум rambler.ru таким страдает(л?).
                      • +2
                        Можно выводить предупреждение типа «слишком простой пароль».
                        Если пользователь проигнорил, то это хотя бы его осознанный выбор, а заставлять насильно использовать сложный пароль уместно только для ограниченного круга сайтов, например для банковских.
                        • +1
                          Да, мне даже кажется, что можно делать более комплексно:
                          * ежели твой пароль входит в сотню-тысячу самых подбираемых — запрещаем такой пароль и нормально это объясняем в сообщении об ошибке.
                          * если твой пароль просто плохой (совсем маленький, без цифр и т.п.) — выдаём предупреждение, но всё-таки разрешаем создать учетку.
                          • 0
                            «Извините, ваш новый пароль уже использует пользователь Вася, придумайте другой пароль»
                            • 0
                              Да, так даже лучше, единственный минус в том, что придётся написать подробную статью на тему распространённых паролей с отсылкой к статистическим данным. А то найдутся пользователи, которые даже запрет 100 самых популярных паролей сочтут самоуправством… Кстати, интересно какая будет вероятность ситуации, когда пользователь 3 раза пытается задать пароль и каждый раз попадает на легко подбираемый :-)
                      • +6
                        А почему слово «dick» зацензурено?
                        Это все равно, что цензурить «чл*н».
                        Это нормально в 13 лет, но вот взрослому человеку в такой ситуации наверняка нужна помощь.
                        • –2
                          Нюанс в том, как переводить.
                          • +1
                            С таким подходом произведение Moby Dick заиграет новыми красками.
                          • +9
                            Когда потребность в обсценной лексике превышает возможности языка, люди ставят звездочки в неожиданных местах.
                            • 0
                              Тут вы правы, даже слово Cat можно истолковать непристойно) Кто не догадался — загляните в Lingvo, очень удивитесь.
                            • +3
                              Если что, дик — есть имя в америке, так что даже с членом сравнивать наверно не стоит =)
                              • 0
                                Richard «Dick» Feynman, если не ошибаюсь :)
                                • 0
                                  любой Ричард потенциально Дик, это уменьшительное, это нормально)
                                • 0
                                  В русском языке слово член тоже используется в первую очередь для обозначения части чего-либо.
                                  Поэтому меня и удивляет «запикивание» в обоих ситуациях.
                                  • +1
                                    Представляете, как сложно некоторым в школе, на алгебре, с её «одночленами» и «многочленами» было…
                                    • 0
                                      Как в анекдоте про Петьку и В.И.Ч.

                                      — Да попросили изобразить квадратный трёхчлен, а я даже представить себе такое не могу…
                                • +3
                                  «Член» — это «penis». А «dick» — это скорее «х*р» ;)
                                  • +7
                                    Ну что за политкорректность? «dick» это скорее «х*й»

                                    P.S. У меня сотрудник есть, и он предпочитает, чтобы его звали Dick а не Richard. Взрослый уже дядька, за 50.
                                    • +4
                                      «Член» — это «member» или «part» в первую очередь.
                                      А «голубой» в первую очередь означает цвет.
                                  • 0
                                    dick — сыщик, детектив (US), клятва, обещание (сокращение, declaration)
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                    • 0
                                      Да, как-то ирония не чувствуется :)
                                      Спасибо, исправил.
                                      • 0
                                        Я бы не злоупотреблял выделением кавычками слов в ироническом значении. Это как рассказать анекдот, а потом начать объяснять его смысл.
                                    • 0
                                      Кто-нибудь знает, где можно посмотреть какие пароли были взломаны? Интересно посмотреть, попал ли мой в их число. Проверял хэш на сайте leakedin.org/, но он пока не числится в числе взломанных.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          • 0
                                            Это у меня есть. Меня интересуют именно те «3,7 million hashes already cracked».
                                            • 0
                                              Они там же, в том же файле, у взломанных первые 5 символов хеша забиты нулями.
                                              Ну чтобы их получить понятное дело нужно взять словарь побольше и побрутить…
                                              • 0
                                                Действительно, в файле 3'521'256 взломанных хэшей, что очень близко к 3,7 млн.
                                          • 0
                                            Мне кажется, или ты добавил к этим 3,7 млн еще один хакнутный пароль введя его на этом сайте?!=)
                                            • 0
                                              Сайт производит хэширование на стороне клиента (SHA-1 реализован в JavaScript), то есть пароль не передаётся.
                                              Можно вместо пароля сразу указывать хэш, что я и сделал.
                                          • 0
                                            Мой старый пароль линкедина — 8 golf MIKE charlie BRAVO papa ROMEO foxtrot 7 x-ray romeo 0 1 uniform ROMEO victor (фонетика)
                                            ждем расшифровку ;)
                                            • +1
                                              Мой сайт сказал бы — слабый пароль, потому что:
                                              * пароль начинается с цифры
                                              * нет спецсимволов
                                              • +2
                                                Тоже правда.

                                                Но я не люблю когда мне говорит сайт, какой пароль ставить. Раздражает одним словом такая забота. Уживаюсь только с е-банками.
                                                • +2
                                                  Особенно бесят, когда ставят довольно странные ограничения — например обязательно должна быть цифра, но НЕ должно быть спецсимволов. Как пример, тот же lj.ru
                                                  • 0
                                                    Со спецсимволами — беда. Почему из запрещают для меня, лично, большой вопрос. Может, я хочу использовать в пароле символ вроде 0xAE (с клавиатуры не наберешь) — мое личное дело.

                                                    Бесит еще, что о том, что пароль «неверный» узнаешь только нажав submit. Догадались? Все поля тутже очищаются, капча новая… FFUUUU эффект в чистом виде.
                                                    • 0
                                                      Со спецсимволами — беда. Почему из запрещают для меня, лично, большой вопрос. Может, я хочу использовать в пароле символ вроде 0xAE (с клавиатуры не наберешь)

                                                      Прикольнее когда задать необычные символы можно, но потом либо такой пароль/ник не будет работать вообще, либо (в случае ника) будет выводиться неправильно (например в виде экранированного кода). Я так попадал один раз с паролем, один раз с ником.
                                                      • +1
                                                        А ещё веселее когда зарегился и всё вроде ok, а через какое-то время там накатывают какой-нибудь апдэйт или врубают какие-нибудь более параноидальные опции рантайма, активирующие неучтённую программистами экранировку, и на этот эккаунт внезапно становится невозможно залогиниться.
                                                • +2
                                                  Странный у Вас сайт. Т.е. пароль из 10-ти символов, без первой цифры и с одним спец-символом Вы сочли бы надежным, а пароль из 16-ти символов с первой цифрой и без спец-символа — нет?
                                                  • +2
                                                    Какая вообще разница, какой первый символ? Да, если первая — цифра, то можно предположить, что и все остальные тоже. Но ведь именно так можно пустить брутфорсер по ложному следу, не? Чем пароль типа «54Gk%w(Š-gFuйddM_» хуже «M4Gk%w(Š-gFuйdd5_»?
                                                  • +3
                                                    я не думаю, что ваш сайт в этом случае будет прав
                                                    • 0
                                                      Дефис в «x-ray» не спецсимвол? А чем вам первая цифра не угодила?
                                                  • +2
                                                    Странно что нет QWERT и QWERTY.
                                                    • 0
                                                      Мозгов не хватило.
                                                      • 0
                                                        Есть там qwerty и qwerty123. Просто не так много 8)
                                                        • 0
                                                          Странно, что нет 1234567890. Я лично ставил такой пароль в паре мест (где в общем пофигу, но просто 123 поставить инстинкт таки мешает).
                                                          • 0
                                                            Может они в топ 50 входят, а тут только 30.
                                                            • 0
                                                              Есть там в дампе и хэш от 1234567890 )
                                                          • –2
                                                            Я правда это вижу? Картинка больше метра весом прямо в теле поста?
                                                            • 0
                                                              Та да, как-то отвык трафик считать.
                                                              Пережал.
                                                            • –1
                                                              Меня удивляет то, что система регистрации (или обновления пароля в уже существующем аккаунте) пропустила такие простые слабые пароли. Это о многом говорит про сайт и про его систему безопасности пользователей.
                                                              • 0
                                                                Удивляет, что в списке нет PASS или qwerty )
                                                                • –2
                                                                  Скажу по личному опыту.
                                                                  Одно время ставил «средненькие пароли» (6-8 символов без заморочек).
                                                                  Когда мне взломали почту, сразу изменил свой подход к этому вопросу. Теперь все оценщики стойкости паролей говорят «Very strong» в противовес старому «Normal».

                                                                  Т.е. это я к чему — самое главное уже озвучено: извлечь урок.
                                                                  Я более чем уверен, что большинство «обычных пользователей» и понятия не имеет, что утекают такие базы.
                                                                  Но те, что знают и умеют извлекать урок из своих и чужих ошибок — обязательно сделают выводы. Т.е. какой-то «положительный» (прошу не прикапываться к этой фразе) момент также есть.

                                                                  Хотя… как показывает практика, большая часть людей ничему не учится на ошибках.
                                                                  • 0
                                                                    Любопытно, за что минусовали-то?
                                                                  • 0
                                                                    Бесполезный анализ. В общем-то и так очевидно, какие пароли самые слабые — какая разница сколько их.

                                                                    Да и всего 3.7 миллиона сломали из 6.5 (в реальности и того меньше 5.8, из-за дубликатов).

                                                                    Завтра постараюсь подготовить анализ самых «сложных» из найденных паролей и выложу обновленную версию MD5Blast, теперь с поддержкой SHA1.
                                                                    • 0
                                                                      Мне кажется, что общество скоро наткнется на проблему с паролями.
                                                                      1. Я уже (и, думаю, не только я) не могу вспомнить, какой и где я сохранял пароль. Получается, что нужно использовать один пароль для нескольких ресурсов. В чем тогда смысл пароля?
                                                                      2. Дальше больше. Многие ресурсы позволяют использовать открытую учетную запись вроде google. Так какой смысл в пароле вообще, если один раз ввел и потом им пользуешься?

                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.