Турецкий студент и независимый исследователь Ата Хакчел (Ata Hakçıl) проделал огромную работу, изучив более миллиарда различных логинов и паролей. Столь огромный дамп для анализа он собрал из открытых источников: все эти данные когда-то «утекли» в сеть в результате различных ИБ-инцидентов.
Подобные дампы копятся в сети уже не один десяток лет, и их количество лишь растет по мере взлома новых компаний. Найти их совсем нетрудно, — такие подборки учетных данных доступны на GitHub и GitLab, свободно распространяются на хакерских форумах, через файлообенники и так далее. Также стоит отметить, что крупные компании давно собирают такие дампы, чтобы предупреждать своих пользователей об опасности. К примеру, Google, Microsoft и Apple используют «утекшие» логины и пароли для создания собственных систем оповещения, которые информируют людей, когда те используют слабый или уже скомпрометированный пароль.
Хакчел пишет, что в огромной подборке ему удалось обнаружить 168 919 919 уникальных паролей и, как оказалось, более 7 000 000 их них — это пароль «123456» (каждый сто сорок второй пароль). Напомню, что специалисты давно говорят о том, что последовательность «123456» является самым используемым паролем в мире и лидирует с большим отрывом на протяжении как минимум пяти лет.
Также исследователь подсчитал, что средняя длина пароля составляет 9,48 символов, хотя ИБ-эксперты обычно рекомендуют использовать более длинные пароли (от 16 до 24 символов). Сложность паролей тоже оказалась проблемой, поскольку лишь 12% паролей от общего числа содержат хотя бы один специальный символ.
Хуже того, в подавляющем большинстве случаев пользователи выбирают максимально простые пароли: используют только буквы (29%) или только цифры (13%). По сути, это значит, что примерно 42% всех паролей уязвимы для банальных словарных атак и перебора.
Другие интересные выводы из отчета Хакчела:
- из 1 000 000 000+ изученных строк как поврежденные или тестовые были отфильтрованы 257 669 588;
- по сути, миллиард учетных данных содержал только 168 919 919 уникальных паролей и 393 386 953 имен пользователей;
- самый распространенный пароль — «123456», он встречается примерно в 0,722% случаев;
- 1000 самых распространенных паролей, это примерно 6,607% от всех изученных паролей;
- средняя длина пароля составляет 9,4822 символа;
- только 12,04% паролей содержат специальные символы;
- 8,79% паролей содержат только буквы;
- 26,16% паролей содержат символы только в нижнем регистре;
- 13,37% паролей содержат только цифры;
- 34,41% всех паролей заканчиваются цифрами, но только 4,522% паролей начинаются с цифр.