В рамках исследования, проводимого с 2017 года, всего было проанализировано 35,5 млрд пар логин-пароль, из которых 5,36 млрд были уникальными. По результатам 2021 года было выделено более 250 млн новых пар логин-пароль, которые ранее не встречались в каких-либо утечках, пишет Iksmedia.
Источниками данных для исследования послужили сообщества энтузиастов, занимающихся восстановлением паролей из хешей, такие как, например, hashmob.net, а также теневые форумы, где массовые утечки выкладываются в открытый доступ. Эти данные были очищены от «мусора» (пустых и повторяющихся записей), а также автоматически сгенерированных учетных данных ботов.
В исследование, в частности, вошли такие крупные утечки, как данные пользователей P2P-сети для обмена файлами imesh.com (44 млн записей), китайского литературного ресурса readnovel.com (42 млн записей), российского сервиса анонимных вопросов и ответов sprashivai.ru (25 млн записей), онлайн-сообщества писателей и читателей wattpad.com (23 млн записей), а также сервиса создания онлайн-викторин dailyquiz.me (22 млн записей).
На момент исследования в базе находилось:
А так выглядит десятка самых популярных паролей из утечек 2021 года: qwerty123, qwerty1, 123456 (занимавший первое место по итогам 2020 года), a11111, 123456789 (ранее бывший на 2 месте), 111111 (бывший на 3 месте), 112233, 12345678 (занимавший по итогам 2020 года 5 место), 12345 (бывший на 7 месте) и 000000 (бывший на 9 месте).
В рамках этого исследования впервые были отдельно проанализированы пароли для учетных записей в доменных зонах .RU и .РФ, в которых в качестве логинов использовались соответствующие адреса электронной почты. Всего было обработано 1 483 586 769 учетных записей, а список самых популярных паролей составили: 123456, qwerty, 123456789, 12345, qwerty123, 1q2w3e, password, 12345678, 111111, 1234567890.
При этом топ паролей из утечек 2021 года по российским доменным зонам состоял из qwerty123, qwerty1, 123456, asdasd, 12345, 123456789, asdasd123, 12345678, qwerty и 123321.
В традиционный топ самых популярных кириллических паролей вошли: йцукен, пароль, любовь (поднявшаяся с 4 места), привет (в прошлом году занимавший 5 место), наташа (перешедший с 6 места), максим (упавший с 7 места), марина (поднявшаяся с 9 позиции), люблю, андрей (занимавший 10 место) и кристина.
Комментируя результаты исследования, основатель DLBI Ашот Оганесян отметил, что полученные данные в очередной раз подтверждают, что значительная часть пользователей достаточно легкомысленно относится к используемым паролям, и за прошедший год ни доля сложных (содержащих буквы, цифры и спецсимволы), ни доля длинных (более 10 символов) паролей практически не изменилась, оставшись на уровне 3,5% для первых и 16,5% для вторых.
«При этом возможный ущерб от подбора паролей даже для физических лиц с каждым годом возрастает. Очень часто, получив доступ, например, к электронной почте, злоумышленники могут сбросить пароль к онлайн-банку или сервису Госуслуги, попытавшись обойти двухфакторную аутентификацию с помощью социальной инженерии. И это если SMS-подтверждение у них вообще включено, что для тех же Госуслуг далеко не правило», - рассказал он.
«Также большой проблемой остается то, что многие сервисы, в которых пользователи регистрируются с собственным паролем, используют для его хранения слабые и устаревшие алгоритмы хеширования, а некоторые даже хранят пароли в открытом виде, что позволяет легко получить к ним доступ при случайной утечке или взломе», - добавил Ашот Оганесян.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.