Исследователи «Лаборатории Касперского» проанализировали 193 млн паролей, обнаруженных в публичном доступе в даркнете. Выяснилось, что почти половину из них (45%, или 87 млн) мошенники смогут взломать менее чем за минуту.
Согласно отчету компании, большинство изученных паролей можно легко скомпрометировать с помощью умных алгоритмов (перебор, основанный на словаре и/или распространенных комбинациях символов): для подбора 14% из них (27 млн) мошенникам понадобится не более часа, 8% (15 млн) — не более суток.
Так, RTX 4090 способен подобрать восьмизначный пароль, состоящий из латинских букв одного регистра и цифр (это 36 различных символов, доступных для комбинации), всего за 17 секунд. Результаты исследователи рассчитывали именно для видеокарты RTX 4090 и алгоритма хэширования MD5 с солью.
Отмечается, что умные алгоритмы брутфорса способны учитывать замену символов («e» на «3», «1» на «!», «a» на «@»), а также знают популярные комбинации (qwerty, 12345, asdfg).
Хуже того, оказалось, что большинство проанализированных паролей (57%) содержат существующее словарное слово, что значительно снизило их устойчивость к взлому.
Также люди все еще часто используют в качестве паролей имена («ahmed», «nguyen», «kumar», «kevin», «daniel»), популярные слова («forever», «love», «google», «hacker», «gamer»), а также стандартные пароли («password», «qwerty12345», «admin», «12345», «team»). На взлом половины таких паролей потребуется меньше минуты, а еще 67% можно подобрать менее чем за час.
Паролей, не имеющих словарных слов в составе, в выборке оказалось лишь 43%. Среди них встречались и слабые пароли, состоящих, например, только из букв одного регистра и цифр (10%) или только из цифр (6%).
В результате, при использовании наиболее эффективного алгоритма подбора, только 23% (44 млн) комбинаций оказались достаточно стойкими: на их взлом у злоумышленников ушло бы больше года.