Вот уже восемь лет подряд эксперты компании SplashData составляют список 100 самых худших паролей года. Так они надеются привлечь внимание к проблеме, полагая, что подобная статистика заставит пользователей задуматься о безопасности и осознать, что комбинации вроде «123456» — это совсем небезопасные пароли. Но даже после многочисленных утечек данных, взломов, атак шифровальщиков и других инцидентов, список возглавляют все те же «password» и «123456».
Как и в прошлые годы, аналитики изучили более 5 000 000 паролей, «утекших» в широкий доступ во время различных инцидентов. К сожалению, по сравнению с прошлыми годами список изменился мало, пользователи по-прежнему охотно используют простейшие комбинации вроде «qwerty» и «password», а также имена знаменитостей (например, в этом году в топ-25 появилось слово «donald»), попокультурные термины, различные бренды и тому подобное.
По подсчетам SplashData, порядка 10% пользователей применяют хотя бы один из паролей, вошедших в список худших в этом году. Еще 3% пользователей применяют самый плохой пароль, то есть «123456».
В итоге список 25 худших паролей 2018 года выглядят следующим образом:
| Пароль | В сравнении с 2017 годом | |
| 1 | 123456 | Без изменений |
| 2 | password | Без изменений |
| 3 | 123456789 | ↑3 |
| 4 | 12345678 | ↓1 |
| 5 | 12345 | Без изменений |
| 6 | 111111 | Новый |
| 7 | 1234567 | ↑1 |
| 8 | sunshine | Новый |
| 9 | qwertry | ↓5 |
| 10 | iloveyou | Без изменений |
| 11 | princess | Новый |
| 12 | admin | ↓1 |
| 13 | welcome | ↓1 |
| 14 | 666666 | Новый |
| 15 | abc123 | Без изменений |
| 16 | football | ↓7 |
| 17 | 123123 | Без изменений |
| 18 | monkey | ↓5 |
| 19 | 654321 | Новый |
| 20 | !@#$%^&* | Новый |
| 21 | charlie | Новый |
| 22 | aa123456 | Новый |
| 23 | donald | Новый |
| 24 | password1 | Новый |
| 25 | qwerty123 | Новый |
Не менее интересное исследование, посвященное худшим паролям года, опубликовали специалисты компании Dashlane. Они составили список самых крупных просчетов в данной области. Десятка самых позорных случаев 2018 года, по версии Dashlane, выглядит так:
- Канье Уэст. Продемонстрировал всему миру свой пароль («000000»), разблокировав телефон на встрече с президентом Дональном Трампом, перед десятками телекамер.
- Пентагон. Аудит Счетной Палаты США выявил, что менеджмент учетных данных находится на столь низком уровне, что команде удалось подобрать пароль администратора к ряду сиситем Пентагона всего за 9 секунд. Судя по всему, никто не потрудился сменить учетные данные по умолчанию.
- Владельцы криптовалют. Когда цены на криптовалюты подскочили в начале 2018 года, многие пользователи, покупавшие или добывавшие токены раньше, поняли, что не помнят паролей от своих кошельков. В попытках вспомнить, пользователи прибегали к самым странным практикам, и СМИ рассказывали даже о попытках нанять специалистов по гипнозу.
- Nutella. В день худших паролей (да, существует и такой) отличилась компания Nutella, порекомендовавшая своим читателям в Twitter использовать более стойкие и надежные пароли. Например, «Nutella».
- Британские юристы. ИБ-специалисты обнаружили в даркнете более миллиона комбинаций корпоративных email-адресов и паролей почти 500 британских юридических фирм. Хуже того, в большинстве случаев пароли хранились в формате простого текста.
- Штат Техас. Информация о 14 000 000 избирателей из Техаса была свободно доступна в онлайне, на сервере, не защищенном паролем.
- Сотрудники Белого дома. Один из сотрудников Белого дома записал свои логин и пароль на официальном бланке, а затем забыл бумагу на автобусной остановке в Вашингтоне.
- Google. Студент-инженер из Индии сумел получить доступ к спутнику телевещания, залогинившись через административную страницу Google, оставив пустыми поля для ввода логина и пароля.
- ООН. Сотрудники ООН используют в работе Trello, Jira и Google Docs, однако не совсем думают о безопасности и многие документы не защищены паролем. То любой человек, который знает ссылку, может получить доступ к потенциально секретным данным.
- Кембриджский университет. Случайно забытый на GitHub пароль (в формате простого текста) позволил узнать личные данные миллионов пользователей Facebook, которые использовали приложение myPersonality, созданное исследователями Кембриджа.
