Самые популярные пароли

Люди по всему миру одинаковы в одном параметре - они используют слишком простые пароли в интернете.
Не думаю, что те, кто меня читают, подвержены этой проблеме - все же люди из IT индустрии,так что должны использовать серьезные пароли.
Но тем интереснее вам будет прочитать про то, насколько глупо поступает остальное большинство.


Два дня назад финский геймерский сайт Älypää был взломан и хакеры заимели пароли от 127000 аккаунтов (для Финляндии с 5млн населения это очень много - примерно как 4млн аккаунтов для России).
Какие самые популярные пароли на этом сайте? Вот топ-7 паролей (цифра - число таких паролей):
1. 449 - salasana
2. 328 - 123456
3. 206 - Älypää
4. 144 - kissa
5. 137 - johanna
6. 119 - perkelle
7. 113 - 54321



Несложно догадаться, что salasana - это “пароль” по-фински. На втором месте самый распространенный пароль в мире - 123456!
Да-да, именно этот незамысловатый пароль встречается чаще всего.
Третье место - название сайта.
Четвертое переводится, как “кот”.
Пятое - имя. Особо глупо ставить свое имя или имя своей возлюбленной в качестве пароля - надеюсь не надо объяснять почему.
6 место - самое любимое финское ругательство “перкелле”.
Эти 7 паролей в сумме встретились около 1500 раз в выборке из 127000 паролей.
А значит, по теории вероятностей, хакеру достаточно попробовать их на любом другом финском сайте, чтобы получить доступ к примерно 1% аккаунтов! А если взять все пароли из топ-50, то вероятность поднимается уже до 5-10%!
Вдумайтесь - хакер может легко получить доступ к 5-10% аккаунтов просто попробовав 50 одинаковых паролей для каждого аккаунта! Причем это может быть сделано очень быстро с помощью простого скрипта.


Думаете это только финская проблема?
Ничего подобного.
Вот вам топ-20 самых популярных паролей вконтакте с процентами:
123456 134 0,34%
123456789 85 0,21%
qwerty 85 0,21%
111111 51 0,13%
1234567890 41 0,10%
7777777 39 0,10%
123321 34 0,09%
666666 33 0,08%
1234567 31 0,08%
123123 29 0,07%
12345678 26 0,07%
qwertyuiop 26 0,07%
qazwsxedc 25 0,06%
000000 23 0,06%
любовь 23 0,06%
555555 22 0,06%
zxcvbnm 22 0,06%
654321 19 0,05%
gfhjkm 19 0,05%
1q2w3e4r 18 0,05%


Русские гораздо более ленивы - используют в основном цифры :)
Получается, что имея всего лишь 20 этих паролей любой хакер можете взломать 2-3% аккаунтов вконтакте, просто попробовав ввести все их для каждого аккаунта.
Конечно, можно сказать, что так оно и надо тем, кто использует такие пароли.
Но ведь люди же могут и не догадываться чем это грозит.


А вот топ-20 самых популярных паролей в англоязычном мире ():
Популярность Пароль Найдено штук
1 123456 290731
2 12345 79078
3 123456789 76790
4 Password 61958
5 iloveyou 51622
6 princess 35231
7 rockyou 22588
8 1234567 21726
9 12345678 20553
10 abc123 17542
11 Nicole 17168
12 Daniel 16409
13 babygirl 16094
14 monkey 15294
15 Jessica 15162
16 Lovely 14950
17 michael 14898
18 Ashley 14329
19 654321 13984
20 Qwerty 13856


У пользователей англоязычного интернета явно выдумка лучше работает, чем у тех, кто сидит вконтакте. Хотя опять же - слишком много паролей с именем и разными вариациями цифр 123456. И в целом уровень защищенности ненамного выше.
Имея список из 5000 популярных паролей шанс на успешный взлом аккаунта достигает 20%. 20%! Каждый пятый аккаунт может быть взломан простейшим скриптом, по очереди посылающем 5000 паролей!


В интернете явно что-то надо менять и заставлять пользователей вводить сложные пароли.
И тут возникает обратная сторона проблемы - пользователи не любят и нехотят вводить сложные пароли! Им проще отказаться заходить на сайт, который требует от них ввести как минимум 6 разных символов в пароле, включая цифры, буквы и знаки препинания.
В итоге получается, что сайты заведомо подвергают своих пользователей риску, разрешая им вводить любой примитивный пароль, зато никого не отталкивают сложностью.


Как же можно решить эту проблему не отпугнув пользователей, но в то же время защитив их аккаунты? Есть идеи?


Похожие статьи:
Сделай свой интернет безопасным
Поддельные антивирусы
Страшилки: зачем нужен антивирус?
Новый червь Downadup

43 комментариев к Самые популярные пароли

  • thenexus6

    OpenID использовать с его фактическим single signon

    • OpenID - это сложная и необъясненная большинству пользователей концепция сейчас.
      Как Александр правильно сказал - даже не все сайты ее поддерживают.
      Если бы OpenID провайдер был встроен в операционную систему с самого начала, то это бы могло помочь. Чтобы вместе с заведением логина и пароля при установке системы, юзер заодно и свой openID указывал или новый создавал, и его бы система уже потом автоматически везде использовала.
      У этой схемы, правда, проблем с безопасностью еще больше…

      • sdfghjk

        В операционную систему встроен CardSpace, например.
        К тому же стоит освоить один раз openid и дальше у пользователя не будет проблем.

  • Александр

    Проблема с OpenID в том, что его должен поддерживать сайт. Большинство сайтов в интернете никогда его не будут поддерживать.

    Гораздо лучше использовать хранилку паролей, совмещённую с их генератором. Тут проблема в том, что все такие программы - сторонние решения, а значит обходятся стороной большинством пользователей.

    Если бы было бы какое-то стандартное решение, уже встроенное в ОС/браузеры - это было бы идеально.

    Ну, авто-сохранение паролей есть практически везде, осталось только добавить авто-генерацию.

    • Автогенерация и хранилка - ненадежные вещи. А вдруг винт накрылся - как узнать свои пароли после этого?
      Если генератор и хранилку в инете сделать, то та же проблема встает - мастер пароль должен быть не 123456 :)

      • Александр

        >>> А вдруг винт накрылся - как узнать свои пароли после этого?
        На всех сайтах есть функция восстановления пароля.

        А насчёт интернет-хранилки - можно и без неё: на флехе таскать (лично я так и делаю), а интернет - для продвинутых (да и в любом случае один пароль можно и сложный придумать). Вот тебе и хардварный ключ: вставил флеху в комп и заходи куда хошь - главное чтобы поддержка со стороны ОС и браузера была, чтобы всё на автомате делалось. Пин-код или что-то такое к флешке приделать - и вообще замечательно будет (кстати, такие девайсы давно уже продаются).

        Короче, имхо, для нормального использования паролей уже всё есть - надо что-бы кто-то большой и сильный собрал эти кусочки в единую концепцию и сумел заставить остальных за ней пойти.

        • Флеху таскать - это уже сложно. А вдруг без нее оказался - уже никуда не залогиниться будет?

          >>Короче, имхо, для нормального использования паролей уже всё есть - надо что-бы кто-то большой и сильный собрал эти кусочки в единую концепцию и
          >>сумел заставить остальных за ней пойти.

          Это верно. Пока кто-то большой типа MS или Google не скажет, как все должны это делать - ничего не изменится.

          • Александр

            >>> Флеху таскать - это уже сложно
            Гм, а ключи от квартиры тоже “сложно таскать”?

            >>> А вдруг без нее оказался - уже никуда не залогиниться будет?
            А вдруг ключи от квартиры потерял - как туда попадёшь? (подсказка: с домашней машины, где почти наверняка стоит авто-сейв пароля, зайти на почту и сделать восстановление пароля).

            Если указанную выше схему кто-то заставит работать, то к флеш-брелку нужно относится как к обычному ключу. Это простая и доступная концепция для всех. Намного проще, чем пароли.

  • Я тоже упомяну OpenID, несмотря на то, что про него уже сказали. OpenID это круто. OpenID OpenID OpenID.

  • У меня на нескольких проектах регистрация сводится к тому, что пользователь вбивает свой email, а ему приходит сгенерированный пароль. Хотя часть юзеров его потом меняет

  • bykovk

    очевидно, без хардварных методов не обойтись. в каждое устройство сканер, каждому индивиду универсальный чип (биометрический паспорт, например).

    • У паспортов главная проблема - их легко подделать. Узнать номер паспорта и инфу на нем - дело несложное. И также просто сделать потом новый паспорт с той же инфой - и всё, логинься куда хочешь.

  • ganjubas

    ну граждане IT-шники, как же вы не понимаете - ну взломают мой акк на вконтакте, и чего? плевать я на него хотел. А вот для банкинг сайтов спорю что таких простых паролей почти не найдется. Во всем надо знать меру - я не буду региться на сайте, который никакой важной инфы не несет, а заставляет напрягать мосх на 5 секунд дольше чтоб пароль придумать… А учитывая то, на скольких сайта зарегистрирован современный пользователь - иметь разные пароли для всех них - просто нереально (размер полезной ОЗУ, где хранятся пароли в голове юзеров сильно ограничен).

    • Для интернет банкинга одного пароля мало - там есть специальные “хардварные” методы защиты. Вроде таблички с паролями, которые каждый раз разные. Это работает на отлично именно потому, что банк сам объясняет что и как делать, да и схема достаточно простая - легко изучить.

  • AlexeyK77

    Одноразовые пароли на брелках типа vasco digipass/rsa для банкинга. А все остальное не столь важно и не критично.

  • Вот вам ещё ссылочка на похожие исследования и рассуждения. Ничего не меняется =)

  • Я из свой области сразу предложу решение: отпечатки пальцев можно использовать для авторизации. Проблема будет у 5% людей, у которых отпечатки не считываются в принципе.

    • Я еще там написал про особые точки на лице, но остаток моего сообщения потерялся :(

    • 1. Если я палец ожёг - что делать?
      2. Если я его потерял не дай бог? :)
      3. Есть случаи, когда у 2-х человек совпадают отпечатки - это вообще огромная дыра в безопасности.

      • 1. Отпечатки снимают с нескольких пальцев. Рисунок восстанавливается. Если ожег все пальцы, то все равно по кнопкам нажимать не сможешь - тогда нефиг и в инете делать.
        2. См. 1.
        3. Шансы того, что два человека с одинаковыми отпечатками пальцев встретятся, равны одному из миллиона. Они ещё уменьшаются, если считать, что эти два три человека в мире не обязательно пойдут с тем же логином на тот же сайт. В любом случае, вероятность настолько мала, что ей можно пренебречь. Но если не хочется, то для особо охраняемых объектов используются дополнительные параметры. Обычный набор: скан ладони + сетчатка + пароль (возможно голосовой). Что-то вроде этого предлагает Панасоник для банков. Для военных объектов с высокой секретностью нужно присутсвие нескольких человек одновременно. Цена таких комплексов высока. Для обычных пользователей, чтобы зайти на gmail достаточно сканера отпечатков.

  • Кстати, если реально всех пальцев нет, то скан сетчатки спасет. Это дороже немного, но и таких пользователей меньше.

    • bykovk

      если реально всех пальцев нет (впрочем, на ногах еще остаются), то дело уже не в цене, а в специализированных устройствах для управления компьютером силой мысли.
      кстати, именно сканер мозга будет самой лучшей защитой.

  • CrazyCoder

    FaceBook connect проще чем OpenId и для юзера и для поддержки.

    Судя по тенденциям, скоро это будет доп. способ авторизации на большинстве сайтов.

  • Выше был очень хороший комментарий про секретность информации, к которой закрыт доступ.

    Сайты делаются для простых людей, который чаще всего очень далеки от мира IT. Простые пароли следствие того, что они плохо запоминаются. Или легко забываются, если редко пользоваться.

    Так же не стоит забывать, что сайтов и сервисов много. Как будет действовать пользователь? Будет использовать один и тот же логин (если это взможно) и пароль. Что бы не забыть.

    Я еще ни разу не видел сайтов, которые бы предложили бы пользователю стойкий пароль на выбор и при этом запоминающийся.

    Что касается онлайн банкинга мне очень понравилось как раньше делал Приорбанк в Беларуси. Для доступа к системе пишется заявление. Банк для клиента делает пластиковую карточку с уникальными: логином (не удобно), паролем и приватный ключ для денежных операций. Очень удобно. Я до сих пор не помню своего пароля и приватного ключа. Для этого я достаю из полки карточку. Увы, сейчас банк карточек не выдает. При перерегистрации я сменил логин на более понятный мне, а пароли оставил те же.

    Еще по поводу сеьюрности. У многих уже есть пластиковые карточки. Какой длинны выш пин-код? 4 цифры! (10000 вариантов) За ними скрывюатся все ваши электронные деньги ;-).

    Для меня давным давно работает простое правило генерации пароля.
    Я выбираю фразу на русском языке, запоминающуюся и не связанную прямо со мной. Например, 2ХлоридаНатрия. А набираю его на английской раскладке: 2{kjhblfYfnhbz. Довольно стойко и запоминаемо.

  • И еще хотечется подыдожить.

    Не стоит считать пользоваетелей идиотами. “Все единицы, бу-га-га, каким идиотом нужно быть?”.

    Многие IT специалисты не понимают, что у пользователей совершенно иные цели и задачи.
    У бухгалтера - свести баланс, у бизмесмена - заработать бабло, у студента - найти друга/подругу и т.д. Наши разработки помогают достигать им своих целей быстрее и проще, именно за это мы получаем деньги. И я считаю что думать за пользователя (в рамках разрабатываемой системе) это задача IT-ов. Например, пользователь никогда не будет думать о том, что нужно делать бекап данных (до тех пор, пока один раз не ляснится все). Это IT-ик должен подумать и реализовать.

    Так что давайте делать системы не для IT-ов, а для пользователей.

  • ganjubas

    Вот, человек очень доходчиво изложил мысль! +100. Поддерживаю - давайте писать софт не для гиков, а для людей!

  • Сергей

    Это не реклама, я сам этим пользуюсь https://lastpass.com/ (lastpass . com)
    создаете мастер пароль, всего 1н. а все остальные пароли помнит сея база.
    ставит небольшой тулбар под браузеры. вводите мастер пароль - вы залогинились и имете доступ к паролям. перешли на сайт который вы запомнили в базе -выедет подсказка - ввести пароль например. По поводу проблемы со сложностью пароля- есть генератор сколь угодно сложно навороченного пароля. и его не надо будет запомниать - сохранится в базе. мега удобно имхо
    ну и понятно дело, ни кто же не заставляет там хранить пароли от вебманей, от кредиток и т.п.
    а вот пароли от каких нить вконтате, тучи форумов и т.д. - почему бы и нет. легко и быстро сохарнить и создать пароль. с запоминанием нет проблем. конечно если ваш пк без интернета использовать не получится. вообещм аось кому пригодится. я очень рад что надыбал сие изобретение. нашел кстати у экслера о нем эмм рецензию )

  • Хм.. забавно) я например использую как пароль бывший домашний телефон и две буквы инициалов)

  • bykovk

    bishop, может это и глюк (баг?) но я считаю довольно-таки странным рассылать комментарии (SuccessGirl) подписчикам, но не публиковать их в общем списке.
    понятно, что подобные комментарии не нужны, но…
    сапожник без сапог или неполноценный движок? ;)

    • Это был спам. Он прошел фильтр и добавился - поэтому все получили оповещение. А я потом его удалил вручную - поэтому его нет в комментах больше.

  • Mark_Braun

    Лучший способ для хранения паролей использовать программу keepass,явные плюсы :
    1. Open Source(Открытое ПО)- исходники есть,никаких подводных камней(если вы вдруг не доверяете программе свои пароли.)
    2. Куча клиентов для разные платформ.
    3. Встроенный генератор паролей.
    4. Отличный способ закинуть базу паролей и клиент на dropbox(ваша базу будет синхронизироватся на любом компе.). Это очень удобно.
    Короче всем рекомендую.

  • keepass + dropbox имхо самый оптимальный на данный момент вариант

  • >vanoc
    использую такой же принцип ;)

  • Adas

    пусть все покупают оборудование по индентификации пальца. ХА ХА. Дороговато, но ленивому самое то. Ничего помнить ненадо, только незабыть палец вставить, Я про палец руки. А вы про что подумали?

  • Adas

    слышь ты спамер херов.
    иди в доску объявлений а, придурок

Ответить

 

 

 

Вы можете использовать эти HTML тэги

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>