Обновена на 07.04.2020 от Questo
Наскоро попаднах на масив с над 25 хил. хакнати акаунти от български сайтове. Анализирах ги, за да установя кои пароли са най-уязвими.
Резултатите ще представя в тази статия.
Но преди да преминем към детайлите, ето някои по-интересни изводи.
- Над 5% от акаунтите използват 123456 за парола
- Масово потребителите използват като парола името си или имената на близки и членове на семейството
- „Левски“ е най-популярният клуб, използван като парола.
- Над 0.2% от потребителите използват „parola“ за своя парола
- Често срещана парола са ЕГН-та и мобилни номера
Какви са данните и къде ги намерих?
Масивът представлява потребителски имена и пароли за над 25 хил. акаунти. Свободно публикувани са в интернет. Всеки, който има адреса, може да ги разгледа.
Данните са каени в интернет през септември 2018 и до пускането на тази статия са разгледани над 15 хил. пъти.
Не мога да кажа откъде са откраднати. Но с голяма доза сигурност мога да направя следните предположения.
Хакнатите данни са от сайт или сайтове с преобладаваща българоговоряща аудитория. Повечето пароли и потребителски имена са български думи, имена на хора, имена на български градове или футболни клубове.
Поне част от данните са от сайт за обяви за имоти. Предположението се базира на факта, че част от паролите са разновидност на думата „имот“ или имена на агенции за имоти (включително регионалните им поделения).
Какво показват резултатите?
През януари 2018 публикувах списък с лесни за разбиване пароли, базиран на над 7 хил. хакнати акаунти. Настоящото проучване обхваща над 3 пъти повече профили, което предполага по-голяма представителна извадка.
Целта на изследването е да установи кои пароли потребителите използват най-често. Колкото по-често се използва една парола, толкова по-лесна е за разбиване.
Най-масово използваната парола е 123456. Тук изненада няма. Това е най-лесната за разбиване парола и според предишното ми проучване, а и според световната статистика.
Над 5% от профилите в извадката използват тази парола. Това е чудовишно голяма честота. Тя е над два пъти по-голяма от честотата, която същата парола имаше в изследването от 2018 (2%).
Средностатистически това означава, че ако днес се разминете със 100 души на улицата, ще знаете паролата на поне 5 от тях.
Сред най-слабите пароли се нареждат и други комбинации от числа, както и популярни български имена и търговски марки.
Има и потребители, които за парола пишат… parola. Това също не е особено умно. В световен мащаб password е втората най-популярна парола.
Нека да видим и кои са 20-те най-лесни за разбиване пароли според настоящото проучване.
Топ 20 на най-слабите пароли
| Парола | Брой акаунти, които я използват |
Честота на използване (%) | |
| 1 | 123456 | 1267 | 5.01 |
| 2 | 12345 | 334 | 1.32 |
| 3 | 111111 | 139 | 0.55 |
| 4 | 1q1q1q | 139 | 0.55 |
| 5 | 1234 | 108 | 0.43 |
| 6 | 666666 | 92 | 0.36 |
| 7 | 123456789 | 89 | 0.35 |
| 8 | 1234567 | 76 | 0.30 |
| 9 | 1q2w3e | 74 | 0.29 |
| 10 | 1111 | 69 | 0.27 |
| 11 | 7777777 | 60 | 0.24 |
| 12 | parola | 57 | 0.23 |
| 13 | 11111 | 48 | 0.19 |
| 14 | 12345678 | 47 | 0.19 |
| 15 | 123123 | 40 | 0.16 |
| 16 | 55555 | 37 | 0.15 |
| 17 | qwerty | 34 | 0.13 |
| 18 | 654321 | 32 | 0.13 |
| 19 | 555555 | 30 | 0.12 |
| 20 | 777777 | 30 | 0.12 |
От тази таблица умишлено съм извадил няколко попълнения, които влизат в топ 20, но не отговарят дори на минималните изисквания за парола (едно от тях е комбинацията 123).
Прави впечатление, че повечето пароли в топ 20 са комбинация само от числа. Това е необичайно, тъй като хората предпочитат да използват комбинации от букви и числа.
Превесът на числовите комбинации би могъл да се дължи на това, че целта на акаунтите е била краткосрочно ползване. Когато потребителят си прави регистрация, за да ползва сайт само няколко пъти, той не губи време да мисли сложна парола.
Вместо това той въвежда такава, която ще му е лесно да запомни. А числовите комбинации са по-лесни за запомняне от комбинациите с букви и числа.
Публикувам и втора таблица. От нея са извадени изцяло числовите комбинации. Тогава челната 20-ка изглежда така:
| Парола | Брой акаунти, които я използват |
Честота на използване (%) | |
| 1 | 1q1q1q | 139 | 0.55 |
| 2 | 1q2w3e | 74 | 0.29 |
| 3 | parola | 57 | 0.23 |
| 4 | qwerty | 34 | 0.13 |
| 5 | imoti | 25 | 0.10 |
| 6 | levski | 22 | 0.09 |
| 7 | milena | 19 | 0.08 |
| 8 | bulgaria | 18 | 0.07 |
| 9 | stefan | 17 | 0.07 |
| 10 | georgi | 15 | 0.06 |
| 11 | imot | 15 | 0.06 |
| 12 | mitko | 15 | 0.06 |
| 13 | plamen | 15 | 0.06 |
| 14 | zxcvbn | 15 | 0.06 |
| 15 | martin | 13 | 0.05 |
| 16 | nikola | 13 | 0.05 |
| 17 | reklama | 13 | 0.05 |
| 18 | sofia | 13 | 0.05 |
| 19 | svetla | 13 | 0.05 |
| 20 | elena | 12 | 0.05 |
| 21 | moreto | 12 | 0.05 |
| 22 | simona | 12 | 0.05 |
| 23 | yavlena | 12 | 0.05 |
Защо използването на слаби пароли е лоша практика?
Защото това е като да имате на входната врата ключалка, която може да се отключи с изкривен пирон.
Хакерите разполагат с дълги списъци от често използвани пароли. Те ги зареждат в софтуер, който тества една след друга всички пароли, докато намери онази, която отключва набелязания акаунт.
Много потребители имат навика да използват една и съща парола за много различни акаунти. Това влошава още повече ситуацията. Щом хакерът открие паролата, която отклюва един акаунт, той може да пробва да отключи с нея и други акаунти на същия потребител.
Но защо му е да го прави? Все пак това звучи сложно и трудоемко.
Всъщност е много лесно. Както казахме, процесът е автоматизиран и не изисква много усилия. Хакерът просто трябва да изчака, докато програмата си свърши работата.
Как да използвате трудни за разбиване пароли
Като за начало започнете с чудесния и детайлен наръчник „Как да си измислите трудна за разбиване парола“.
И се придържайте към следните правила.
Какво да НЕ правя
- Не използвайте като парола често срещани комбинации като 123456, 000000 или изброените в тази статия
- Не използвайте една и съща парола за няколко различни акаунти
- Не използвайте за парола името си, имената на ваши близки или домашни любимци, любими групи, отбори, произведения на изкуството, цитати от книги или песни
- Не използвайте за парола ЕГН-то си или номера на мобилния телефон
- Не използвайте за парола името на услугата, в която се логвате (например паролата ви за Facebook е facebook)
Какво ДА правя
- Използвайте комбинация от думи, които нямат много общо помежду си (например glavaetajheliimarulia). Те са едновременно лесни за помнене и трудни за отгатване
- Използвайте двуфакторна автентикация, когато сайтът го позволява
- Използвайте комбинация от малки и големи букви, числа и специални символи като #
- Използвайте софтуер за управление на пароли (password manager)
Заключение
Най-слабото звено в повечето информационни системи са хората.
Можете да избирате слаби пароли, които увеличават риска от кражба на личните ви данни.
А можете и да промените навиците си онлайн, за да сведете този риск до минимум.
Изборът е ваш.
Подобни статии
Здравейте. Искам да ви помоля да ми върнете хакнатия профил!
Pingback:7 съвета за безопасно пазаруване в интернет: [актуални и през 2020] – Questona
Pingback:Защита на уебсайт: как да се предпазите през 2020