Близится конец года, и разработчики менеджера паролей NordPass в очередной раз опубликовали список наиболее используемых и слабых паролей 2020 года. Увы, за последние 12 месяцев безопасность паролей нисколько не улучшилась.

Для составления ежегодного отчета эксперты изучили 275 699 516 паролей, просочившихся в сеть в ходе различных утечек данных, и обнаружили, что наиболее распространенные пароли по-прежнему невероятно легко угадать: на взлом учетных записей с такими паролями у злоумышленников может уйти меньше секунды или двух. К тому же только 44% изученных учетных данных были признаны уникальными.

В 2020 году наиболее популярными вариантами паролей были признаны: «123456», «123456789», «picture1», «password» и «12345678»

Взлом всех этих паролей, за исключением «picture1», посредством брутфорса займет считанные секунды, если использовать обычную словарную атаку. Что касается «picture1», на его взлом уйдет порядка трех часов.

Помимо очевиднейших комбинаций, типа «123456», люди по-прежнему часто используют и другие слабые пароли, которые крайне легко угадать. Среди них можно перечислить: «football», «iloveyou», «letmein» и «pokemon».

Исследователи напоминают, что при выборе пароля следует избегать очевидных шаблонов или повторений, например букв или цифр, расположенных рядом друг с другом на клавиатуре. Добавление заглавной буквы, символов и цифр тоже может помочь сделать пароль надежнее. Также ни в коем случае не следует использовать личную информацию в качестве пароля, например дату рождения или имя.

Полный список худших паролей 2020 года можно найти в блоге специалистов, а ниже можно увидеть ТОП-10.

8 комментариев

  1. Аватар

    0d8bc7

    19.11.2020 в 22:58

    Заканчивается 2020 год, а методов для создания сильных паролей так и нет.
    1. Ни методологий придумывания надёжных и запоминаемых паролей «для чайников»;
    2. Ни методологий удобного масштабирования паролей из п.1 (чтобы на разных сайтах были не похожие друг на друга пароли) «для чайников»;
    3. Ни аппаратных хранилищ паролей на надёжных компонентах (типа общеиспользуемых микроконтроллеров общего назначения, в которых почти гарантированно нет малвари для хищения паролей);
    4. Ни методологий адекватной приоритизации сервисов, требующих регистрации, и, соответственно, требований к паролю (все сервисы имеют разные приоритеты, и не всегда сами владельцы сервисов оценивают свои сервисы адекватно; например, на некоторых сайтах нужна регистрация просто чтобы скачать файл);
    5. Ни пропаганды всего вышеперечисленного.
    Ну, не удивлюсь, если пароль «123456» будет возглавлять список самых слабых паролей и в 2021, и в 2022… А хотя нет, есть ещё вероятность, что владельцы сервисов добавят какое-нибудь глупое требование и вместо «123456» будет что-нибудь вроде «123456abc»)))

    • Аватар

      MKMatriX

      20.11.2020 в 20:31

      1) https://xkcd.ru/936/
      2) md5 из 1.
      3) Очнитесь, даже в процессорах выпускаемых и модифицируемых 10 лет подряд есть баги. Техническая сложность такого компонента значительно превышает стоимость компа. Тем более с обычным компом его все равно не получится использовать.
      4) К счастью бывает войти с помощью, либо пароль сгенерит браузер.
      5) К счастью.

      Да будет. И это хорошо. Не всегда хочется делать надежный пароль. Есть инстаграмм и твитер, где это все не важно. Есть банк с заученным сложным паролем, который браузер (типа) не знает. В любом случае установить личность заходящего — задачка невозможная с точки зрения физики. Поэтому улучшения могут быть лишь символические.

    • Аватар

      user2010

      23.11.2020 в 12:48

      Очень смешно! А пароль 123456 будет подобран по словарю, а парoль 123456abc уже довольно надежен, так как перебором его уже так просто не подберешь и сисетм пох. 12345…. идет или цощОЛЛАХшфцпэщ количество знаков рулит.

  2. Аватар

    Владиславище

    19.11.2020 в 23:22

    «Близится конец года, и разработчики менеджера паролей NordPass в очередной раз опубликовали список наиболее используемых и слабых паролей 2020 года» — откуда разработчики МЕНЕДЖЕРА паролей знают какие пароли самые слабые??? Может потому, что прога сливает их???

    • Аватар

      Владиславище

      19.11.2020 в 23:25

      И да, ещё момент… Пойду поменяю свой надёжный пароль: 123456 на 123qwerty

    • Аватар

      MKMatriX

      20.11.2020 в 20:23

      На деле утечек много. Проверить старые популярные в стиле радужных таблиц по ним не сложно. Отсюда и время на поиск)

  3. Аватар

    MKMatriX

    20.11.2020 в 20:22

    Когда из-за паранои админов автоматом сгененренный пароль от хрома не подошел. В ход пошел простейший для придумывания, подходящий под правила «AAaa11!!» А от пользователя на компе 123456 навеки. Пока шифрование на диск не настроено смысла ставить другой нет.

  4. Аватар

    edmart80

    01.12.2020 в 14:32

    Блин, и правда, из года в год одно и то же. И рекомендации в «умных» статьях те же. Типа пользуйтесь платной версией парольного менеджера (всего 19 дол. в год и ваши данные будут в безопасности 🙂

    Из личного опыта (мама, папа, прочие родственники) — заставить человека пользоваться парольным менеджером практически невозможно. Единицы процентов. Остальные будут писать один и тот же пароль везде.

    А самое страшное — все и всё защищают от хакеров. А надо защищать от Хаоса. Хаос — первый враг пароля и вообще данных. Пароль гораздо чаще и проще ТЕРЯЮТ, а не воруют.

    Поэтому важнейшая задача звучит так — как хранить мои 200 логинов-паролей безопасно от потери и кражи, с учетом того, что многие из них приходится регулярно менять по требованию сервиса.

    Для меня по простоте и надежности идут два решения:
    1) хеш(мастерПароль+СОЛЬ), хранить связки сайт+логин+соль на бумаге и/или в тхт файле.

    сам пользуюсь JS скриптом — https://bizpages.org/ru/safer-password

    2) Бесплатный менеджер паролей — ну тут все ясно, только много гемора с бэкапами. Хранить базу паролей в облаке — сорри, кто знает, кто и как там ее читает? Хранить на флешке — замучаешься каждый раз эти флешки доставать из сейфа.

    И кстати вопрос к знающим — а почему производители менеджеров паролей, всякие Keypass и Laspass не используют внутри себя систему под пунктом 1) ? Зачем кому-то нужно, чтобы вся твоя база логины+пароли хранилась в одном файле на компе, а сейчас еще и в удаленном облаке? Ведь там можно хранить только соли паролей. То есть, по сути, эти менеджеры переусложнены. Вопрос — ради чего? Зачем пользователю нужно хранить зашифрованный файл у себя на компе или в облаке? Уж не для того ли, чтобы в нужный момент нужный дядя взял этот файл и применил к нему стандартные методы расшифровки?

    Или того хуже — если облако висит в благословенной Америке, и твой мастер-пароль для расшифровки просто пишется рядом в базе, незаметно от тебя, и сервис типа Ластпасс может расшифровать ЛЮБОЙ пользовательский файл не спрося у него разрешения? Кто может дать гарантию, что это не так? Кого лично вы знаете из компании Ластпасс так хорошо, что доверяете ему сокровенное 🙂 ?
    А самый цинизм — они еще и деньги берут за это! Во как!

Оставить мнение