NordPass опубликовала рейтинг самых слабых паролей из утечек этого года

[LAG_LAGbI4]

qazwsxedc123

[evil_me]

Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях…
– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль "Pft,bcm" подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же…
– Введи это сочетание в Гугле – и сам увидишь.

Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.

Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.

Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.

[vyo]

Мне интересно, как Picture1 смог оказаться настолько популярным паролем. Вроде бы не самый очевидный выбор.

[alex_blank]

del

[DSolodukhin]

Не менее 8 символов, минимум одна цифра. Видимо, первое слово из семи букв, которое приходит в голову англоязычным товарищам.

[stepmex]

Почему пароль 123456789 два раза на 2 и 50 месте?
А мой супер секретный пароль 123654789 в топ 200 не попал))

[SagePtr]

(del, неправильно понял комментарий)

[gsaw]

У меня есть простенький пароль, который я использую на незнакомых сайтах, где требуют регистрации, но данные там свои не оставляю. Гугол менеджер паролей говорит все время, что он скомпрамитирован, но в топах его нету.

Интересно, скомпрамитирован, то есть была утечка с одного таких сайтов или то, что он в базе?

[Ahen]

Значит, что была утечка с одного из сайтов, где вы использовали эту комбинацию почта + пароль. Ну и соответственно данные с этой утечки стали публичными.

[psydvl]

компрОмат

[nerudo]

ладно, я все понимаю. Но кто такой aaron и почему он так популярен?

[drinkius]

И почему 431?

[perfect_genius]

А ещё как Million2 может подбираться 3 часа?

[Tangeman]

ИБ-исследователи советуют менять пароли не реже одного раза в 90 дней

А ещё они рекомендуют иметь разные пароли на разных сервисах. В итоге получаем с десяток смен паролей раз в три месяца, при этом совершенно ничего не выигрывая.

Если пароль зубодробительный, 16+ символов и хорошо хранится (как сервисом так и владельцем) — то менять его каждые N дней нет смысла, ибо перебор его вряд-ли возьмёт, а если он хранится в открытом виде или там такой слабый хэш что и 16 символов быстро перебираются (что само по себе маловероятно, там 64 бита энтропии) — то его частая смена тоже не поможет.

[Iv38]

Это защита от случайной утечки. Типа злоумышленник как-то получил пароль и незаметно им пользуется. Подсмотрел, например. Тогда при смене пароля он обломается. Но этот сценарий не всегда актуален.

[tmin10]

Для этого есть двухфакторка и уведомление о логине с нового устройства. Должно хватать.

[Iv38]

Так я и говорю, сценарий не всегда актуален, поэтому как общая рекомендация этот способ защиты даже местами вреден. Он требует много сил и заставляет делать глупости, вроде прибавления циферки вместо нового пароля, или записывания на листочке, потому что невозможно запомнить пароли при частой смене.

[Dagnir]

Вопрос в том, сколько из этих паролей реально используются, а сколько — сделаны для разных одноразовых аккаунтов.

[maxkomp]

— Какой тут у вас пароль?
— Без пароля.
— Что то не получается войти, пароль ввести требует.
— Слово "Без" с большой буквы.

Еще был такой анекдот про человека, которого админ отругал за то, что он использовал кличку своей собаки в качестве пароля. А собаку звали
d43#5Flg8Ra$xr9%5vvz.

[Barry_Y]

Товарища случайно не Илон Маск звали?

[micronull]

Держите безопасный пароль: ?(ISH~"!VKkq]ed]3d'M
Не благодарите)