Пользователи применяют ненадёжные пароли? Неофициальная статистика

    По информации, слитой на одном закрытом форуме по «информационной безопасности», использование лёгких паролей среднестатистическими пользователями это не бред. Посмотрите на диаграмму справа. Это статистика (в процентах) паролей российских пользователей от своей электронной почты в 2011м году.
    Ярко-красный: только цифры
    Оранжевый: только маленькие латинские буквы
    Жёлтый: сочетание цифр и маленьких латинских букв
    Светло-зелёный: латинские буквы разного регистра или только большие латинские буквы
    Зелёный: цифры и (латинские буквы разного регистра или только большие латинские буквы)
    Тёмно-зелёный: используется что-то кроме латинских букв и цифр.

    Треть пользователей используют в качестве пароля только цифры. Впечатлило? Добро пожаловать под кат.
    Расшифровки диаграмм слева аналогичны той, что в шапке. Диаграммы справа: количество символов в пароле: «меньше четырёх» (цвет зелёного чая), «четыре» (зелёный), «пять» и так далее до «больше 12и» (чёрный).


    И хоть использование лёгких паролей это не пустой звук, но то, что пользователи везде вбивают один и тот же пароль — наглая ложь. По словам человека, слившего инфу у более чем 90% населения на аське, мыле, вконтакте разные пароли.

    ~4.5% всех паролей это русские слова/сочетания слов, написанные на lheujq hfcrkflrt.

    Прошу простить за хабрапост в виде, фактически, одной голой картинки. Но добавить к ней нечего.

    upd: А вот и пароли.
    Поделиться публикацией
    Комментарии 101
      +10
      откуда дровишки данные?
        0
        На одном форуме слили валидные пароли (без аккаунтов и, собственно, доступа) от почты, вконтактов и так далее. Мне оставалось только покопаться и сделать статистику. Поэтому нет паролей от аськи в этом/прошлом году. Человек, видимо, не захотел в паблик отдавать то, что приносит ему хлеб.
          +10
          Базу в студию, пожалуйста.
          Интересно ведь и на другие характерные паттерны проверить.
            0
            Часов в 8 вечера дополню топик базой. Сейчас её под рукой нет, топик я вчера вечером писал, а закончил составление графиков только под ночь. Решил на ночь не выкладывать.
            +13
            Просто одно дело, если пароли получены фишингом (высока вероятность, что технически грамотные пользователи заметили подлог), и другое, если они напрямую из БД сайта (где хранились в открытом виде).
            Разнообразие источников подсказывает, что речь как раз о фишинге. В таком случае, речь не о «среднестатистических пользователях», а о братьях наших меньших, которые вводят пароли куда попало.
              +1
              Вроде Пинч/Зевс/другие трояны
            0
            90% статистики берутся от балды!
            0
            Откуда инфа такая?
              +4
              По моему опыту, практически на любом сайте с регистрацией есть пользователь «qwerty» с таким же паролем.

              p.s. Все таки подписи к графикам не помешали.
                +4
                Как и asdasd, но такой пароль люди используют что бы по быстрому одноразово получить доступ, а не пользоваться всегда.
                  +4
                  Так это с башорга пошло — там объявили флешмоб, дескать чтобы не регистрироваться для того, чтобы скачать один файл/прочитать один топик. Ну и регистрировали qwerty/qwerty, BashOrgRu/чётотам и так далее.
                    +2
                    qwewqe с qwewe или qwewqe1 если нельзя «как логин».
                      +3
                      Есть такой сервис для этого: www.bugmenot.com/
                      И в гуззи есть группа: goozzy.com/group/bugmenot/notes/
                        0
                        А вы это толпе с баша расскажите =)
                        Здесь все в курсе про багминот. Да здесь же вроде его и анонсировали.
                        +1
                        Логин BashOrgRu и пароль Bash1234

                        Встречается очень много где и выручает, когда люди закрывают даже картинки под регистрацию.
                        0
                        http://bugmenot.com одобряет ваш комментарий.
                        +8
                        Впечатлило? не впечатлило.
                        Пароли давно не «воруются» брутфорсом.

                        Тут недавно была статья об «обратном отъеме своего домена», которая очень хорошо раскрывает сложившуюся ситуацию:
                        пароль любого (почти любого) человека стоит ~$100 и воруется посредством фишинга.
                        Криптостойкость тут не очень помогает.
                          +3
                          Как страшно жить.
                            0
                            поделитесь ссылой, пожалуста. поиск по «обратному отъему своего домена» ничего не дает.
                              0
                                0
                                /infosecurity/112755/
                                  +1
                                  будуобновлятькомментариибудуобновлятькомментарии =\
                                +1
                                Этим сообщением полностью меняется смысл статьи:
                                Вы еще используете пароль вроде «ED$#fd64»? Это бесполезно, не поможет.
                                  +2
                                  >Пароли давно не «воруются» брутфорсом.
                                  Вы ошибаетесь, это один из основных способов кражи пароля.
                                  Посмотрите хакерские форумы, хотя бы тот же Античат.
                                  +6
                                  «человека, слившего инфу у более чем 90% населения на аське»

                                  Равномерна ли выборка, вот в чём вопрос.
                                    +1
                                    Выборка актуальна для большинства среднестатистических юзеров, полагаю, хоть и не равномерна. Потому как те, кто догадался не вводить пасс где попало, следит за чистотой компа и соблюдает элементарные нормы безопасности, скорей всего, не держит пароль класса 12345qwe по причине наличия достаточного количества мозгов в голове.
                                    0
                                    Интересует вопрос, насколько пароли состоящие из одних цифр поддаются взлому? Если в пароле скажем 15 знаков, он легко ломается? Или есть свои пределы?
                                      +1
                                      10^15 вариантов. Со скоростью 30 млн/паролей в секунду (у зип-архивов) = 25 лет
                                        0
                                        Ну значит и проблемы то нет, такой пароль действительно не возьмешь грубой силой. Значит нужно больше уделять внимания защите от всякий троянцев и клавиатурных шпионов.
                                          0
                                          на 25 машинах по 30 млн/паролей в секунду — 1 год.
                                            0
                                            С такой логикой далеко можно пойти: на 2500 машинах — 3 дня. Только вот есть такие ресурсы?
                                              +6
                                              Распределенный вычислительный ботнет? :)
                                                0
                                                Учитывайте, что:
                                                1. Загрузка на ядрах будет 100%, это очень заметно для заражённого пользователя
                                                2. Компы должны работать без прерываний

                                                А ботнеты, конечно, и побольше бывают. И ещё: у зип-архивов огромнейшая скорость брутфорса, с рар-архивами, а тем более почтовыми аккаунтами так быстро не получится.
                                                  +1
                                                  >Компы должны работать без прерываний
                                                  Ничего подобного. Каждые десять минут обработал блок — отчитался серверу.

                                                  >Загрузка на ядрах будет 100%, это очень заметно для заражённого пользователя
                                                  При проведении некоторых манипуляций в ядре, процесс исчезает из списка процессов, и, как бонус, его процессорное время не учитывается в общей суме, а суммируется к бездействию системы. Если приоритет idle, а местонахождение вируса на диске скрыто фильтром ФС, то ничего не заметит даже продвинутый пользователь без специального софта.
                                                    0
                                                    Температура процессора тоже хитрыми манипуляциями снижается?
                                                      +1
                                                      Главное кулер сильно не включать — ничего не заметит пока проц не перегорит.
                                                        0
                                                        Температуру процессора можно подделать программно. Искать процесс по выполняемому файлу everest.exe/cpu-z.exe и там уже менять значения в окошках — самый простой вариант, но зачем? 90% пользователей не знают, где её посмотреть.
                                                        0
                                                        а как такие процессы определять?
                                                      +4
                                                      На амазоне нанять :-)
                                                        0
                                                        Нужно ещё учесть что если вы брутфорсите дамп базы это одно, а если ломитесь на какой-то сервис то один перебор будет скорее всего больше секунды и нужен достаточно большой ботнет чтобы не сработала защита. Да и большое количество проваленых попыток должно свидетельствовать о том что идёт взлом.
                                                        0
                                                        worldcommunitygrid.org например.
                                                          +1
                                                          Ну надо будет — найдутся. Всему есть своя цена.
                                                        0
                                                        А если сайт лочит пользователя на 15 минут после 5 неудачных попыток ввода пароля, то даже распределенный ботнет не поможет дожить до перебора всех паролей.
                                                          0
                                                          Скорее пароль украдут через фишинг/социнженеринг/ну или терморектальным криптоанализом выведают, если уж очень припрёт.
                                                            0
                                                            На фишинг и прочее ведется некоторый % от числа пользователей, на брутфорс некоторое пересекающееся, но не совпадающее множетство, а терморектальный анализ к стойкости пароля отношения не имеет.

                                                            Как правило задача собрать как можно более дешевым способом пароли к максимально наибольшей аудитории ресурса. В этом случае методы затрудняющие подбор паролей усложняют возможность узнать пароль только части пользователей, но и это уже плюс.
                                                          +1
                                                          Как посчитали так, простите? 10^15 / 30*10^6 = 33333333.(3), поделим на 86400 и получим 385 суток, то есть примерно год.
                                                            +1
                                                            Кхм, сейчас перепроверил. И действительно, в первый раз забыл поделить на 24 часа/в сутки
                                                          +2
                                                          согласен, никогда не понимал чем плох, например, пароль: 5610210010248525510057101971015510152515110110199485455564956575255515750
                                                          0
                                                          Я когда-то у себя на фирме базу юзеров заносил на сервак.
                                                          Ну, думаю, пойду навстречу — пусть сотрудники сами себе придумают пароли, что б сами так сказать лучше запомнили их.
                                                          Ну, и что вы думаете? 90% были цифровые… Из них подавляющее большинство — дата рождения. Было несколько 1234
                                                            +1
                                                            Нужно разделять пароли, используемые в личных целях и пароли, используемые в публичных местах, например, на работе. На работе конечно никто не будет выкобениваться и придумывать сложный пароль (я и сам на работе от личного аккаунта использую не слишком защищённый) — нет особого смысла. Но вот если сотруднику сразу сказать, мол, пароль должен быть сложным, от него зависит безопасность фирмы, сотрудник и будет использовать сложный.
                                                              0
                                                              В общем-то да.
                                                              Но не всегда. Практика показывает, что народ хлебом не корми — они будут использовать одни и те же пароли (один, или два-три) для всего. У них и почта с этим паролем, и вконтакт, и от учетки на компе тоже.
                                                              +2
                                                              Ну, думаю, пойду навстречу — пусть сотрудники сами себе придумают пароли, что б сами так сказать лучше запомнили их.

                                                              Это невиданная щедрость. Уже хочу у вас работать.
                                                                0
                                                                А если запретить пользователям придумывать легкие пароли, то они будут записывать их на листочек и прилеплять к монитору
                                                                  0
                                                                  В нашей системе стартовый пароль для новых юзеров — init00. Я долго использовал сложный пароль для своей учетки. Потом админы решили усложнить жизнь юзерам усовершенствовать систему безопасности и ввели срок действия пароля месяц, запрет на повторное использование последних 10 паролей и наличие цифр и символов в пароле. Т.к. данные не особо критичные, мои пароли приняли следующий вид: init01, init02, init03 и т.д. А потом ввели необходимость использования символов и в верхнем, и в нижнем регистре: Init12, Init13…
                                                                    0
                                                                    А потом админы установят минимальное количество символов пароля не менее 8 и прийдется добавлять символы %)
                                                                  0
                                                                  Ёмае таких как я 7%
                                                                    +10
                                                                      +2
                                                                      Как на счет MD5(password + salt)? Я бы делал так, разрабатывая систему хранения хешей, надеюсь приличные компании так и делают.
                                                                        0
                                                                        Да, именно так. Про соль в паролях я писал уже давно.
                                                                        Год назад мне попала в руки база соленых паролей. Ничего не получилось расшифровать. Хотя если бы был известен алгоритм соления, то можно было бы по словарику прогнать.
                                                                          +1
                                                                          Насколько я понимаю, только алгоритма недостаточно, нужно знать собственно и саму соль.
                                                                            +2
                                                                            По прегенеренному словарю прогнать не получится, ведь md5 не сходится. Только если генерировать md5 на лету, а это в разы дольше.
                                                                              0
                                                                              Перегенерировать словарик?
                                                                                0
                                                                                То же самое время. Или нет, даже больше, потому что если брутить на лету, коллизия найдётся раньше, чем закончится словарь.
                                                                                  +1
                                                                                  Есть смысл, только если зашифрованных этой солью паролей много.
                                                                          +4
                                                                          Фраза «латинские буквы разной раскладки» меня приводит в ступор. Что именно имеется в виду? Разный регистр?
                                                                            +1
                                                                            My bad. Перед тем как дописать топик несколько раз произносил «раскладка», поэтому на автомате написал это слово.
                                                                            +1
                                                                            Удивлен относительно низким процентом слабых (красных и оранжевых) паролей вконтакте.
                                                                              0
                                                                              Вконтакт при вводе пароля стимулирует его усложнять.
                                                                              +2
                                                                              Дело в том, что большинство аккаунтов не являются ценными. Ну есть у меня аккаунт на рыбацком форуме с 10 сообщениями, например. Даже если его взломают, я ничего не потеряю, да и был там последний раз два года назад. Не аську, почту, домены — пароль есть смысл ставить, безусловно. Но вот моя бабушка, использующая емейл для переписки только с одной старой подругой — вряд-ли ценит свой емейл. Украдут — заведет другой. Вопрос в ценности защищаемых данных для человека.
                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  +2
                                                                                  поддерживаю. у меня на 95% ресурсов один и тот же пароль, причем состоящий только из цифр. и никому никогда он нахрен не нужен был. а если угонят — ну и фиг с ним. что-то можно восстановить, что-то можно перерегистрировать, на что-то можно забить. действительно важные вещи — основная аська, основное мыло, хостинги всякие рабочие аккаунты — защищаются другими паролями. но отношение действительно важных регистраций к числу всех регистраций такое, что получается картина, описанная в посте.
                                                                                    +3
                                                                                    причем гугл выдал 2177 результатов по поиску md5 моего пароля:)
                                                                                    +1
                                                                                    С другой стороны вдумайтесь! Ведь 36% пользователей спокойно живут с цифровыми паролями. Может, это нормально? Может, брутом уже никто не взламывает почтовые ящики и можно смело ставить себе пароль «6391567»? Конечно, не стоит путать почтовый ящик и vds.
                                                                                      0
                                                                                      Интересная статья. Единственное предложение: распределение длин паролей нагладнее представлять гистограммой.
                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                          0
                                                                                          Я так делаю практически всегда, плюс фраза русская, но раскладка английская. Чтобы фразу ещё проще запомнить было — строка(и) стиха/песни
                                                                                            +1
                                                                                            Как же я был рад, что все пароли помнил/записал именно на английской раскладке, в «первозданном» виде, во время визита заграницу.
                                                                                          0
                                                                                          Люблю 1Password :)
                                                                                            +4
                                                                                            Кроме паролей, есть такая уязвимость как «секретный вопрос». Даже если у тебя стоит пароль из 15 символов разного регистра и спец знаков, но секретный вопрос установлен на «моё любимое блюдо — пельмени/картошка/пиво», это как будто вешать 100 разных замков на основную дверь а заднюю заматывать скотчем.

                                                                                            Я даже статью написать хотел по этому поводу, но всё никак руки не доходят.
                                                                                              –2
                                                                                              Кстати, да.
                                                                                              Обычно выбираю «Свой любимый вопрос» — UUUiuasdwerIUOqwerWER89?
                                                                                              Для ответа на него — зову котэ погулять по клавиатуре.

                                                                                              Знаю, что если потеряю пароль, то смысла проверять вопрос нету. Но если уже потерял пароль — то ССЗБ.
                                                                                              0
                                                                                              Удобно использовать мнемоники для запоминания паролей. Вроде как, это один из самых простых способов запомнить сложные буквенные комбинации. Например, «let me speak from my heart» превращается в «lmsfmh».
                                                                                                0
                                                                                                Не думаю что «lmsfmh» является сложной буквенной комбинацией (в плане пароля) — только маленькие латинские буквы.
                                                                                                  0
                                                                                                  Согласен. Нужно разбавить различными регистрами и другими знакими. Но тут уже каких-то способов запоминания расстановки знаков я не знаю.
                                                                                                    +1
                                                                                                    Let me speak from my heart! = Lmsfmyh!
                                                                                                0
                                                                                                Еще в 199лохматом году читал какую-то книгу о системном администрировании. И там давали следующий совет по выбору пароля: 2 слова (можно даже словарных, но не связанных друг с другом), соединенных каким-нибудь символом (#, %, whatever).
                                                                                                Это, конечно, «Волга впадает в Каспийское море», но похоже, совет актуален до сих пор :) А если разработчики сайта еще догадаются обильно посолить хэш… :)
                                                                                                  0
                                                                                                  Последние несколько лет составляю пароли так: world.std.com/~reinhold/diceware.html
                                                                                                  Запоминаются очень легко, и для брута неуязвимы, даже если злоумышленник имеет словарь, комбинаций слишком много.
                                                                                                    0
                                                                                                    что-то графики не очень юзер-фриендли. заюзали бы google charts
                                                                                                      0
                                                                                                      Я так посмотрел — у меня паролей важных 5 максимум. Все остальное барахло одноразовое, в том числе на всяких одноразовых регах соц сетей и прочего.

                                                                                                      Кроме того, сложность пароля давно уже не важна там, где важна безопасность. Потому что там безопасность начинается с ограничения количества неудачных логинов. Даже самый банальный пароль из словаря подобрать за 5 попыток — очень маловероятное удовольствие.

                                                                                                      И как правильно уже сказали — обращайте больше внимание на секретные вопросы — неплохо туда писать второй сгенерированный пароль, ну или как минимум не имеющую отношения к вопросу комбинацию. А также на зашиту от вирусоы и троянов.
                                                                                                        0
                                                                                                        Пароли можно собирать фильтруя снифферами http трафик. На стороне вашего провайдера админ может в свое удовольствие снифить пакеты. А трафик со спутникового интернета может собирать вообще любой.

                                                                                                        Каждый раз открывая письмо с паролем, задумайтесь, по SSL протоколу ли вы получаете пакет. У российских почтовиков как то по прежнему с https не складывается. По дефолту ничего не шифруется.
                                                                                                          0
                                                                                                          А ответ просто. Вы не гикнутых товарищей попросите пароль придумать. Мне чаще всего называли цифровые пароли, ибо проще запомнить, да и много где используется, например PIN-коды те же самые.
                                                                                                            0
                                                                                                            *прост
                                                                                                              0
                                                                                                              ПИНы (от симок, кредиток, личного кабинета qiwi) могут быть исключительно цифровыми
                                                                                                                0
                                                                                                                И 100% пользователей Алифа-банка мобайл живут с цифровыми паролями. И работает ведь!
                                                                                                                  0
                                                                                                                  Я про что и говорю — люди привыкают.
                                                                                                                  0
                                                                                                                  Меня больше добивают сайты где нельзя пароль 4 символа ввести приходится пин повторять 2 раза!
                                                                                                                  +1
                                                                                                                  Откуда 9-12 символов в пароле ICQ, если там поддерживается максимум 8 символов?
                                                                                                                    +1
                                                                                                                    В стандартном окошке. В нестандартном можно ввести несколько строк текста.
                                                                                                                      0
                                                                                                                      Я при регистрации задавал 9символьный пароль, потом столкнулся с тем, что пускает только по первым восьми.
                                                                                                                        +1
                                                                                                                        qip держит две строки по 8 символов
                                                                                                                    0
                                                                                                                    На заметку по теме:

                                                                                                                    Автор книги Perfect Passwords Марк Бернетт составил список 500 самых распространенных паролей среди англоязычных пользователей. На первом месте оказалась комбинация 123456. Популярностью пользуются нецензурные слова и выражения, пароли с сексуальной тематикой (sexsex -164-е место, porno — 219-е, tits — 256-е, bigtits — 267-е), названия фильмов (Matrix — на 229-м месте, StarWars — на 129-м), цвета (черный — 104-е, синий — 193-е), названия стран (Бразилия — 411-е, Япония — 413-е, Россия — 492-е).
                                                                                                                    Специалисты выяснили, что пароли дают доступ к знанию о характере использующего их человека. Добропорядочный семьянин выбирает в качестве пароля имена родных или клички домашних животных. Также большой популярностью пользуется комбинация – число, месяц и год рождения.
                                                                                                                    Болельщики и жертвы поп-культуры используют названия любимых команд, имена артистов, певцов, мультипликационных персонажей.
                                                                                                                      0
                                                                                                                      «десять тысяч обезьян...»

                                                                                                                      Я уже давно счел за правило использовать для паролей единую систему. Работает оно примерно так:
                                                                                                                      берем за основу кусок незабываемого или легкогуглящегося английского текста, например первые три строчки из песни Celine Dion к «Титанику»:

                                                                                                                      Every night in my dreams
                                                                                                                      I see you, I feel you
                                                                                                                      That is how I know you go on.

                                                                                                                      Берем первые буквы, возможно даже с сохранением регистра.

                                                                                                                      EnimdIsyifyTihikygo

                                                                                                                      заменяем i на 1, o на 0

                                                                                                                      En1md1sy1fyT1h1kyg0

                                                                                                                      И теперь ход конем — добавляем, к примеру, 1-м и последним символом третий и предпоследний символ из адреса сайта!

                                                                                                                      для mail.ru пароль iEn1md1sy1fyT1h1kyg0i
                                                                                                                      для goggle.com gEn1md1sy1fyT1h1kyg0l

                                                                                                                      Алгоритм ввода пароля:
                                                                                                                      1) взгляд на адресную строку, печать первой буквы
                                                                                                                      2) мысленно напевая песенку, печатаем пароль, заменяя на лету нули и единицы
                                                                                                                      3) еще раз взгляд на адрес, последняя буква

                                                                                                                      Выбранный мною пример довольно громоздок, можно было взять и две строчки, я просто решил потренироваться на отличном от моего тексте ^^

                                                                                                                      Как результат — на всех сайтах пароль отличается, обладает высокой криптостойкостью, его не надо запоминать, а стишок заучить легко способны даже дети в детском саду. Визуально при наборе пароля тоже себя никак не выдаешь. Единственное палево — если увлечься и начать себе под нос напевать)))
                                                                                                                      Также хорошо и в случаях, когда рядом сидит человек, а ты случайно вбиваешь пароль в строке логина — тот не видит закономерности и влет ничего не запомнит, а даже если запомнит — это будет лишь пароль от единственного ресурса.

                                                                                                                      Минус — если один из паролей скомпроментирован, и придется его заменить на что-то другое, это будет отступление от системы и возможная путаница впоследствии.

                                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                      Самое читаемое