Хит-парад паролей (анализ ~5 млрд паролей из утечек) +24





В прошлом году мы в DeviceLock провели анализ утекших паролей. На тот момент в нашей «коллекции» паролей было около 4 млрд уникальных пар логин/пароль. За время, прошедшее с прошлого исследования, «коллекция» пополнилась почти 900 млн новыми уникальными логинами и паролями. Кстати, следить за обновлениями «коллекции» паролей можно через мой авторский Telegram-канал «Утечки информации».



Пришло время нового исследования. Поехали...


В исследование вошло примерно 4,9 млрд уникальных пар логин/пароль. Под логином в данном случае понимается адрес электронной почты. Те пары, в которых в качестве логина использовалось имя пользователя, не являющееся адресом электронной почты, были дисквалифицированы и не повлияли на результат исследования.


Отдельно отмечу, что за все время (начиная с самого первого исследования паролей в 2017 году) нами было проанализировано 29,5 млрд паролей (включая неуникальные).


Источниками анализируемых данных для нас служат различные сообщества, занимающиеся восстановлением паролей из хешей (например, hashes.org) и теневые форумы, где в открытый доступ выкладываются массовые утечки расшифрованных (восстановленных) и хешированных паролей.


Мы стараемся максимально очищать данные от «мусора» (пустых и повторяющихся записей). Выявляем и дисквалифицируем автоматически сгенерированные пароли (те, которые устанавливают не пользователи сами, а сервис, допустивший утечку этих самых паролей), а также массовые автоматические регистрации (когда учетные записи на том или ином сервисе, допустившем утечку, заводятся ботами). Кириллические символы приводятся к единой кодировке.


За 2019 год можно отметить следующие крупные утечки (свыше 25 млн пар логин/пароль), попавшие в данное исследование:


  • генеалогический сервис «MyHeritage» — 180 млн
  • приложение для фитнеса и учета питания «MyFitnessPal» — 49 млн
  • облачный сервис создания видео «Animoto» — 40 млн
  • онлайн магазин одежды «Shein.com» — 31 млн
  • образовательный портал «Chegg» — 29 млн
  • разработчик онлайновых игр «Zynga» — 26 млн

Хочу обратить внимание на то, что цифры в списке выше, это не размер утечки, допущенной тем или иным сервисом, а количество расшифрованных паролей, доступных на момент данного исследования. Сами эти утечки могли происходить и раньше 2019 года, однако только в 2019 году стали доступны расшифрованные пароли.


На момент исследования в базе паролей:


  • 4,883,711,954 всего паролей (было 4,039,047,139)
  • 779,281,749 паролей содержат только цифры (было 652,395,037)
  • 1,275,706,800 паролей содержат только буквы (было 1,060,863,995)
  • 13,696,084 паролей содержат буквы кириллического алфавита (было 12,205,832)
  • 159,948,243 паролей содержат буквы, цифры и спецсимволы (было 129,628,109)
  • 3,126,556,695 паролей содержат 8 и более символов (было 2,604,395,502)

На основании этих данных был составлен наш традиционный «хит-парад» паролей. В скобках указывается старое место записи в топе (если она в него попадала ранее), жирным шрифтом (болдом) – новые записи, которые не попадали в топ ранее.


10 самых популярных паролей:


  1. 123456
  2. 123456789
  3. qwerty
  4. 12345 (5)
  5. password (4)
  6. 12345678 (8)
  7. qwerty123 (6)
  8. 1q2w3e (7)
  9. 111111
  10. 1234567890

Как видно, никаких существенных изменений в пределах первой десятки не произошло, лишь некоторые записи поменялись местами. Интересно, что точно такая же картина наблюдается и в пределах первых ста паролей. Самое существенное изменение — это появление в конце первой сотни паролей «zinch», «princess» и «sunshine».


А вот так выглядят 10 самых популярных паролей из утечек только за 2019 год:


  1. 123456
  2. 123456789
  3. 12345
  4. qwerty
  5. password
  6. qwerty123
  7. 1q2w3e
  8. 12345678
  9. 111111
  10. 1234567890

Нетрудно заметить, что принципиальной разницы с общим Топ-10 (см. выше) паролей нет.


10 самых популярных паролей, содержащих только буквы:


  1. qwerty
  2. password
  3. qwertyuiop
  4. qwert
  5. iloveyou
  6. zxcvbnm
  7. unknown
  8. qazwsx (7)
  9. dragon (8)
  10. monkey (9)

10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:


  1. Aa123456.
  2. )4ever (1)
  3. 1qaz@WSX (2)
  4. P@ssw0rd (3)
  5. p@ssw0rd (5)
  6. 123456QQAqqa_ (4)
  7. 1qaz!QAZ
  8. Spiritwear_2004
  9. wowecarts@123 (6)
  10. film@123 (8)

10 самых популярных кириллических паролей:


  1. пароль (2)
  2. йцукен (3)
  3. я (1)
  4. любовь
  5. привет
  6. наташа (7)
  7. люблю (6)
  8. максим
  9. андрей
  10. солнышко

Здесь самое существенное изменение в пределах первой сотни — это появление в самом конце пароля «вампир».

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (15):

  1. kdmitrii
    /#21144902

    Какие сайты такие и пароли.

    • vdem
      /#21145178

      Действительно нет смысла придумывать особый сложный пароль для разового захода на какой-то сайт, требующий регистрации, — сам так делаю. А вот пароль на email, на который у меня завязана и работа и все серьезные учетные записи, и через который я при необходимости могу сбросить пароль какого-то сайта если забыл — более 20 символов, разный регистр букв, цифры и спецсимволы. Подобрать его, полагаю, невозможно, но если взломают почтовый сервис и пароли там не хешированные (впрочем очень сомневаюсь в этом) — тогда да, беда будет :)

    • cyberly
      /#21145562

      Моя боль — один и тот же пароль, который я использую на сайтах, сохранность аккаунта на которых меня не волнует, все чаще не проходит по требованиям к сложности. Все теперь хотят что-нибудь нечеловекопонятное, но перечни разрешенных символов часто слабо пересекаются. Пришлось завести книжечку…

      • polearnik
        /#21145910

        надеюсь книжечка называется keepass или 1password или как то похоже?

        • Protos
          /#21148368

          Ключница куда круче, сама генерит пароль и сама заполняет

          • kahi4
            /#21151732

            Вообще так и 1password и keepass умеет. Если под ключницей подразумевается хромовская или встроенная мак осная — у нее фатальный недостаток.

      • martin_wanderer
        /#21146564

        на всяких мусорных и даже не очень ресурсах просто всегда «забываю пароль»

  2. navion
    /#21145400

    Хэши кириллических паролей где-то можно скачать, как латиницу с have i been pwned?

  3. ert112
    /#21145520 / +1

    > )4ever

    Неожиданно. То что он популярнее P@ssw0rd я могу объяснить только тем, что он был захардкожен в какой-то системе автоматических регистраций учеток, которые создавали тысячами.

  4. DirtyTrip
    /#21145522 / -1

    Стоило ли писать статью из-за такой капитанской информации

    • fareloz
      /#21145826

      Да. Лично у меня теперь есть простой способ отправить эти сведения своим друзьям чтобы они посмотрели и поменяли свои пароли.

  5. deadkrolik
    /#21146592

    А есть где-нибудь списки топ100, чтобы можно было в свои проекты поместить как черный список паролей? Как еще один уровень защиты, самый простой.

  6. justhabrauser
    /#21148372

    С "пароль" понятно: написано "введите пароль" — вот и ввели.
    С "андрей" тоже понятно (пароль от компьютера "например Андрей").
    А Наташа и Максим на чем спалились?

  7. ne555
    /#21150568

    Я даю вам цифры, вы рассказываете Интересную историю.
    Инструмент анализа паролей (рекомендую)