Масштабное исследование о самых небезопасных и часто используемых паролях провёл турецкий эксперт в области баз данных Ата Хакчыл. Он проанализировал более миллиарда утекших учётных данных и выяснил, что каждым 142-м паролем в мире является последовательная комбинация цифр "123456". Результаты исследования опубликованы на GitHub.

Данные для исследования брали из открытых источников – это пароли, скомпрометированные в результате кибератак, свободно распространяемые в интернете. Их можно найти на GitHub или GitLab, на хакерских форумах и файлообменниках. Аналогичные дампы собирают компании, включая Google, Microsoft и Apple, чтобы предупреждать пользователя о слабой кодовой фразе.

Как правило, пользователи отдают предпочтение очевидным и легко угадываемым комбинациям из букв и цифр, которые легко запомнить, женским и мужским именам, названиям брендов, видам спорта, а иногда и просто строкам, образующим горизонтальную или вертикальную линию на клавиатуре с раскладкой QWERTY (asdfghjkl, qazwsx, 1qaz2wsx и так далее).

В базе на 1 000 000 000+ паролей только 168 919 919 являются уникальными, из которых 7 миллионов приходятся на "123456". 

"Эта незатейливая комбинация остается самой распространенной на протяжении пяти последних лет. Типичный пароль состоит из 9,48 символа. Хотя главная рекомендация по безопасности – это пароль не менее 16 знаков. Что еще хуже, спецсимвол (подчеркивание, решетка, звездочка и так далее) присутствует всего в 12% паролей", – говорит специалист.

Также выяснилось, что: 

  • 28,79% паролей содержат только буквы, 
  • 13,37% - только цифры,
  • 26,16% - только символы в нижнем регистре, 
  • 34,41% всех паролей заканчиваются цифрами,
  • только 4,522% паролей начинаются с цифр.

Слабые пароли

Существуют программы для взлома, которые пытаются войти в учётную запись, перебирая пароли. Этот метод называется "брутфорс" – грубая сила. Если пароль сложный, содержит достаточное количество символов, среди которых цифры, буквы в разных регистрах и специальные символы, программе могут понадобится века, чтобы сгенерировать нужный вариант. Но пароли вроде "111111" или "123456" она подберёт за секунды.

Иногда не требуется и программа. Злоумышленники, зная жертву, могут вручную подбирать пароли, используя дату рождения, имя и тд. Чтобы узнать такую информацию, часто используются приёмы социальной инженерии.

Также небезопасно использовать один пароль для множества сервисов. Хакеры могут взломать базу с паролями какого-нибудь сервиса, а затем полученные учётные данные с помощью специальных программ пробуют применить для входа в другие сервисы и приложения. Так что лучше использовать отдельный пароль для каждого сервиса.

В большинстве случаев все новые угрозы – это развитие старых. А значит и способы защиты остаются теми же. И несмотря на "гонку вооружений" между хакерами и специалистами информационной безопасности, основой безопасности по-прежнему является ответственность и бдительность. 

Самая дорогая утечка на данный момент случилась у компании Equifax, которая обязалась выплатить 700 миллионов в качестве штрафов и компенсаций. Хакеры украли 147 миллионов записей о клиентах, включая 209 тысяч номеров банковских карт с датами истечения сроков действия.

Самая крупная утечка произошла в Индии. Хакеры украли 1,2 миллиарда записей из базы государственного хранилища идентификационных данных. Были украдены в том числе биометрические данные.