Журналисты издания Gizmodo обратили внимание на странный факт, обнаруженный инженером Робертом Оу (Robert Ou). Тот первым заметил, что пароль «ji32k7au4a83», на первый взгляд кажущийся надежным, фигурирует во множестве утечек данных.
Исследователь проверил эту комбинацию через агрегатор утечек Have I Been Pwned (HIBP), и выяснилось, что пароль фигурировал в 141 утечке данных. Пытаясь понять, как это возможно, Оу обратился за помощью к своим подписчикам в Twitter.
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed
— Robert Ou (@rqou_) March 1, 2019
Оказалось, что «отгадка» очень проста, и недоумение Оу быстро развеяли тайваньские пользователи. Дело в том, что «ji32k7au4a83» — это вовсе не случайный набор символов. Если на клавиатуре используется раскладка чжуинь фухао (фонетическая система Тайваня для изучения китайского языка), то набрав 我的密碼 (словосочетание «мой пароль») без переключения раскладки можно получить именно «ji32k7au4a83». Наглядную иллюстрацию можно увидеть ниже.
Журналисты пишут, что таким же образом «au4a83» превращается в «password», и такой пароль можно обнаружить уже в составе 1495 утечек данных. Исследователи резюмируют, что даже использование не слишком распространенных языков и раскладок вовсе не спасает от компрометации, и такие пароли вряд ли можно считать сколь-нибудь надежными. Отмечу, что русскоязычных пользователей это тоже касается: HIBP обнаруживает «gfhjkm» («пароль») 262 774 раза.