Спецпроекты

Безопасность Стратегия безопасности

DLBI назвал самые популярные пароли у интернет-пользователей

Российский сервис разведки утечек данных и мониторинга даркнета DLBI провел ежегодное исследование наиболее популярных у интернет-пользователей паролей.

В рамках исследования, проводимого с 2017 г., всего было проанализировано 35,5 млрд пар логин-пароль, из которых 5,36 млрд были уникальными. По результатам 2021 г. было выделено более 250 млн новых пар логин-пароль, которые ранее не встречались в каких-либо утечках.

Источниками данных для исследования послужили сообщества энтузиастов, занимающихся восстановлением паролей из хешей, такие как, например, hashmob.net, а также теневые форумы, где массовые утечки выкладываются в открытый доступ. Эти данные были очищены данные от «мусора» (пустых и повторяющихся записей), а также автоматически сгенерированных учетных данных ботов.

В исследование, в частности, вошли такие крупные утечки, как данные пользователей P2P-сети для обмена файлами imesh.com (44 млн записей), китайского литературного ресурса readnovel.com (42 млн записей), российского сервиса анонимных вопросов и ответов sprashivai.ru (25 млн записей), онлайн-сообщества писателей и читателей wattpad.com (23 млн записей), а также сервиса создания онлайн-викторин dailyquiz.me (22 млн записей).

На момент исследования в базе находилось: 5362581573 паролей всего (+5% в сравнении с 2020 г.); 894691158 паролей, содержащих только цифры (+5,5% в сравнении с 2020 г.); 1380701190 паролей, содержащих только буквы (+3,3% в сравнении с 2020 г.); 14470812 паролей, содержащих кириллические символы (+8,14% в сравнении с 2020 г.); 195647440 паролей, содержащих буквы, цифры и спецсимволы (+14,25% в сравнении с 2020 г.); 1139217369 паролей из 7 и менее символов (+4,4% в сравнении с 2020 г.); 3472273173 паролей из 8 и более символов (+5,2% в сравнении с 2020 г.); 890164009 паролей из более 10 символов (+5,9% в сравнении с 2020 г.)

Среди самых популярных паролей за все время исследования: 123456, 123456789, qwerty123 (ранее бывший на 7 месте), qwerty (ранее занимавший 3 место), 12345 (ранее занимавший 4 место), qwerty1, password (ранее бывший на 5 месте), 12345678 (ранее занимавший 6 место), 1q2w3e (ранее занимавший 8 место), 111111 (ранее занимавший 9 место).

А так выглядит десятка самых популярных паролей из утечек 2021 г.: qwerty123, qwerty1, 123456 (занимавший первое место по итогам 2020 года), a11111, 123456789 (ранее бывший на 2 месте), 111111 (бывший на 3 месте), 112233, 12345678 (занимавший по итогам 2020 года 5 место), 12345 (бывший на 7 месте) и 000000 (бывший на 9 месте).

В рамках этого исследования впервые были отдельно проанализированы пароли для учетных записей в доменных зонах .RU и .РФ, в которых в качестве логинов использовались соответствующие адреса электронной почты. Всего было обработано 1483586769 учетных записей, а список самых популярных паролей составили: 123456, qwerty, 123456789, 12345, qwerty123, 1q2w3e, password, 12345678, 111111, 1234567890.

При этом топ паролей из утечек 2021 г. по российским доменным зонам состоял из qwerty123, qwerty1, 123456, asdasd, 12345, 123456789, asdasd123, 12345678, qwerty и 123321.

В традиционный топ самых популярных кириллических паролей вошли: йцукен, пароль, любовь (поднявшаяся с 4 места), привет (в прошлом году занимавший 5 место), наташа (перешедший с 6 места), максим (упавший с 7 места), марина (поднявшаяся с 9 позиции), люблю, андрей (занимавший 10 место) и кристина.

Комментируя результаты исследования, основатель DLBI Ашот Оганесян отметил, что полученные данные в очередной раз подтверждают, что значительная часть пользователей достаточно легкомысленно относится к используемым паролям, и за прошедший год ни доля сложных (содержащих буквы, цифры и спецсимволы), ни доля длинных (более 10 символов) паролей практически не изменилась, оставшись на уровне 3,5% для первых и 16,5% для вторых.

«При этом возможный ущерб от подбора паролей даже для физических лиц с каждым годом возрастает. Очень часто, получив доступ, например, к электронной почте злоумышленники могут сбросить пароль к онлайн-банку или сервису «Госуслуги», попытавшись обойти двухфакторную аутентификацию с помощью социальной инженерии. И это если SMS-подтверждение у них вообще включено, что для тех же «Госуслуг» далеко не правило», – сказал он.

«Также большой проблемой остается то, что многие сервисы, в которых пользователи регистрируются с собственным паролем, используют для его хранения слабые и устаревшие алгоритмы хеширования, а некоторые даже хранят пароли в открытом виде, что позволяет легко получить к ним доступ при случайной утечке или взломе», – отметил Ашот Оганесян.

Короткая ссылка