Очередная порция аналитики от специалистов по брутфорсу паролей с помощью John The Ripper. На этот раз они осуществили анализ более 200 тыс. числовых паролей из хэшей Linkedin. Под числовыми паролями имеются в виду составленные исключительно из чисел от 0 до 9. Как уже было упомянуто, в базе из 6,5 млн хэшей таких оказалось более 200 тысяч, то есть достаточно большой процент.
Среди всех числовых паролей 93340 состоят из шести цифр и 55027 состоят из восьми цифр, то есть около 75% всех числовых паролей представляют собой комбинацию из 6 или 8 цифр.
Объяснение, почему так часто используются 6 или 8 цифр, является банальным: именно в таком формате традиционно указываются даты. Как показал анализ хэшей Linkedin, люди с большой вероятностью склонны использовать именно даты в качестве парольной защиты.
Естественно, выбор числового пароля сам по себе является ужасной идеей, потому что хэши SHA-1 для всех комбинаций из восьми символов можно перебрать в течение нескольких секунд (108 комбинаций). Для сравнения, при брутфорсе на базе всех символов в верхнем и нижнем регистре, а также спецсимволов, требуется 7.2 * 1014 комбинаций, то есть в 7,2 миллиона раз больше времени.
На диаграмме показано распределение чисел в паролях из шести символов. По горизонтальной оси показано распределение первых двух чисел от 00 до 99, по вертикальной оси — последних четырёх чисел от 0000 до 9999. Распределение от синего к красному показывает количество найденных паролей в данном диапазоне. Как можно заметить, распределение крайне неравномерное и на диаграмме видны различные фигуры, которые соответствуют характерным паттернам DDMMYY, MMDDYY и YYMMDD, а также другим. Например, диагональная полоса из левого нижнего угла в правый верхний угол — это пароли из трёх повторений одних и тех же символов (313131, 424242). Кстати, такие же закономерности присутствуют и в буквенных паролях (ababab и проч.).
На второй диаграмме показано распределение чисел в паролях из восьми символов. По горизонтальной оси отложены первые четыре цифры, по вертикальной оси — вторые четыре цифры.