Обновена на 19.07.2023 от Questo
Какви пароли най-често използват българите?
Ще потърсим отговор на този въпрос, стъпвайки върху данните за над 450 хил. хаканти акаунти.
Колкото по-често се използва една парола, толкова повече трябва да я избягвате. Тези пароли са лесни за отгатване и правят онлайн акаунтите ви по-несигурни. Това е като да сложите на входната си врата ключалка, която може да се отключи с изкривен пирон.
Какво показват резултатите
Подобно проучване направих през 2020 г., но то беше базирано на едва 25 хил. акаунти. Този път анализираните профили са 18 пъти повече, а това предполага повече точност. Ето някои от основните изводи.
- 123456 е най-често използваната парола от българите
- parola е най-често използваната дума за парола
- obi4amte е най-предпочитаната фраза за парола
- „Левски“ е най-популярният бранд, използван като парола
- София е най-популярното име на град, използвано като парола
- потребителите все още имат навика да използват версия на името си като парола (например ralipetrova@abv.bg: rpetrova)
Методология
Настоящият анализ е базиран на файл с размер почти 1 гигабайт, който съдържа имейлите и паролите за достъп до милиони акаунти. Файлът е свободно достъпен в един от популярните форуми за хакнати профили.
Файлът съдържа предимно български и руски акаунти. Отсях акаунтите, за които може да се предположи с голяма доза сигурност, че са български (разбирай имейл услуги като abv.bg, mail.bg, адреси с български домейни). Като махнах дубликатите останах с малко под 452 хил. акаунти
Топ 30 на най-често използваните пароли
Българите не се различават съществено от останалата част от населението на света. В глобален мащаб най-слабите пароли са цифрови комбинации и лесни за запомняне думи като iloveyou или password.
Често използвани са първи имена (в много случаи – в комбинация с 123), телефонни номера, ЕГН-та, популярни брандове като любим футболен клуб и т.н.
Ето ги 30-те най-често срещани пароли в проучването. Ако използвате парола, която я има в списъка, най-добре я сменете.
Тя не ви защитава добре.
Парола | Честота на използване (%) |
123456 | 2.4 |
123456789 | 0.8 |
111111 | 0.3 |
1234567 | 0.2 |
666666 | 0.2 |
12345 | 0.2 |
123123 | 0.2 |
parola | 0.1 |
1234 | 0.1 |
qwerty | 0.1 |
123456a | 0.1 |
12345678 | 0.1 |
123321 | 0.1 |
1234567890 | 0.1 |
123 | 0.1 |
654321 | 0.1 |
7777777 | 0.1 |
987654321 | 0.1 |
sofia | 0.1 |
123qwe | 0.1 |
1q2w3e | 0.1 |
asd123 | 0.1 |
555555 | 0.1 |
levski | 0.1 |
777777 | 0.1 |
obi4amte | 0.1 |
112233 | 0.1 |
121212 | 0.1 |
parola1 | 0.1 |
999999 | 0.1 |
Таблицата е сравнително проста. Срещу паролата е написана честотата, с която тя се среща в събраната извадка. Тук трябва да се уточни, че част от паролите са хеширани, така че е възможно честотата на използване на някои от паролите да е дори по-голяма от изчислената.
Най-популярната парола 123456 например се среща в 2.3% от профилите. Средностатистически това означава, че в град с размерите на Пловдив има над 10 хил. души, които използват тази парола.
Защо хората продължават да използват лесни за отгатване пароли?
Защото им е по-лесно. Защото им е трудно да помнят много и сложни пароли с големи и малки букви, числа и символи.
По същата причина използват една и съща парола за много различни акаунти. И ако някой разбере паролата им за имейла, той знае и паролата им за Facebook, и за Instagram, и за форуми и т.н.
От години 123456 е най-масово използваната парола в световен мащаб: въпреки предупрежденията на експертите да спре да се използва.
Слабите пароли не ощетяват само физическите лица, те може да са опасни и за бизнеса. Американската софтуерна компания SolarWinds беше хакната, защото техен стажант направил акаунт за достъп до един от сървърите на компанията, който се отключва с парола solarwinds123.
Няколко години по-рано беше хакната и Sony Pictures. При последвалия одит се оказа, че компанията защитава компютрите и интелектуалната си собственост с пароли от типа на 12345, password и т.н.
Тези и редица други примери предизвикват смях и недоумление, но продължават да се случват. Което идва да покаже, че най-голямата заплаха в киберсигурността е човешката немарливост, а не уязвимите технологии.
Как да предпазите паролите си
- научете се да си измисляте трудни за познаване пароли, които се помнят лесно
- не използвайте една и съща парола за няколко различни акаунта
- активирайте двуфакторна автентикация, ако има такава възможност
- относно автентикацията: изберете да получавате кодовете на приложение за автентикация като Google Authenticator, а не през SMS
- използвайте софтуер за управление на пароли като LastPass или Dashlane (и двете имат безплатни версии, но ги ползвайте с едно наум, че тези програмки не са неуязявими)
Привет! Защо СМС-а не е за предпочитане като 2-ро ниво за автентикация?
Привет, Жоро, защото СИМ картата ви може да бъде дублирана и някой друг да получава СМС-ите, предназначени за вас. Нарича се SIM swap. Злонамереното лице се представя за вас пред мобилния ви оператор и обявява, че SIM картата ви е била открадната/изгубена и иска подмяна. След като получи копие, лицето влиза във вашия акаунт (предполага се, че вече знае паролата ви) и използва кода за автентикация, който е бил изпратен до вашия мобилен номер.
Този риск се минимизира като вместо СМС-и използвате приложение-автентикатор, което генерира кода на момента, не зависи от SIM карта или дали изобщо имате достъп до интернет.
Благодаря много за бързия отговор! Само ми е интересно, при нужда от подмяна на СИМ карта, не е ли задължително да се представи документ за самоличност? Или се разчита на това служителя да е нехаен и просто да стои там и да чака да свърши работния ден 🙂
Моят мобилен оператор изисква лично посещение в магазин и лична карта, за да подмени SIM. Не съм проверявал каква е политиката на другите БГ оператори. Но дори и личното присъствие и документ за самоличност могат да се заобиколят. Вариантът с нехайния служител сигурно е теоретично възможен, но не е практичен. По-скоро бих заложил на варианта, в който злонамереното лице работи със служител на оператора, който прави копие на SIM картата на жертвата.