Ряд компаний, таких как, VK, µTorrent и ClixSense претерпевали серьезные утечки данных в прошлом. Базы утечек паролей с этих и других веб-сайтов можно использовать для лучшего понимания того, как создаются человеческие пароли, и повышения успеха хакера при проведении брутфорс атак.
В этом руководстве мы узнаем, как создавать списки статистической сложности и длины, основанные на реальных паролях, обнаруженных в утечках баз данных, которые произошли в последние годы. Понимание того, как люди создают свои пароли каждый день, помогает хакерам и значительно увеличивает вероятность успеха брутфорс атак.
Дисклеймер
Базы данных, представленные в этой статье, были получены с использованием общедоступных ресурсов и ресурсов даркнета. Всем базам данных не менее трех лет. Это гарантирует, что статья не нанесет ущерба ни одной жертве этих утечек, поскольку у них была возможность сбросить свои пароли. Кроме того, пароли, использованные в 2016 году, по-прежнему предоставляют отличные датасеты для понимания того, как люди создают пароли сегодня.
Что делает список паролей хорошим?
Невозможно взломать службу SSH или войти в сеть со списком из 5 000 000 паролей. Подобная атака вызовет всевозможные тревоги и займет непостижимое количество времени.
Некоторые могут полагать, что массивные, длинные списки слов объемом 100 ГБ являются распространенными и часто используются хакерами. Однако в действительности же, небольшие, целенаправленные, точно настроенные списки слов обычно выполняют свою работу, избегая обнаружения. Качество (или общность) паролей имеет приоритет над длиной списка слов.
Что такое Pipal?
Pipal, созданный Digininja, известным хакером в кругах кибербезопасности, представляет собой анализатор паролей, который выстраивает статистику списков паролей. Pipal способен идентифицировать наиболее распространенные цифры, добавляемые к паролям, самую распространенную длину паролей, наиболее распространенные пароли, найденные в базах данных, и многое другое.
Эти данные ценны для хакеров, стремящихся улучшить качество своих списков и повысить вероятность успеха при выполнении брутфорс атак. Ниже приведен пример вывода Pipal после анализа взлома µTorrent, который состоял из почти 400 000 паролей.
Топ 35 паролей µTorrent.com
123456 = 386 (0.11%)
forum123 = 152 (0.04%)
password = 116 (0.03%)
utorrent = 94 (0.03%)
qwerty = 71 (0.02%)
12345678 = 57 (0.02%)
123456789 = 57 (0.02%)
111111 = 46 (0.01%)
123123 = 37 (0.01%)
Mykey2012 = 35 (0.01%)
abc123 = 30 (0.01%)
000000 = 27 (0.01%)
trustno1 = 26 (0.01%)
letmein = 26 (0.01%)
torrent = 24 (0.01%)
qazwsx = 24 (0.01%)
Mykey2011 = 23 (0.01%)
1234 = 21 (0.01%)
666666 = 20 (0.01%)
shadow = 19 (0.01%)
12345 = 19 (0.01%)
1234567 = 19 (0.01%)
1q2w3e4r = 19 (0.01%)
dragon = 18 (0.0%)
fuckyou = 18 (0.0%)
Paperindex1* = 18 (0.0%)
abcd1234 = 16 (0.0%)
matrix = 15 (0.0%)
123321 = 15 (0.0%)
1234567890 = 15 (0.0%)
master = 14 (0.0%)
monkey = 14 (0.0%)
123qwe = 14 (0.0%)
jackass = 13 (0.0%)
killer = 13 (0.0%)
Установка Pipal
Pipal можно найти в утилитах Kali или установить по данной инструкции. Для использования Pipal требуется Ruby версии 2.5 (или более поздней), а Git необходим для клонирования репозитория GitHub. С помощью приведенной ниже команды можно установить и то и другое.
~$ apt-get install ruby2.5 git
Затем клонируем GitHub репозиторий Pipal.
~$ git clone https://github.com/digininja/pipal.git
Используйте команду cd, чтобы перейти созданную директорию Pipal.
~$ cd pipal/
При запуске Pipal обязательно используйте ruby2.5. Чтобы просмотреть доступные параметры Pipal, используйте аргумент --help.
~$ ruby2.5 pipla.rb --help
Включение Pipal Checker Modules (необязательно)
Checkers - это модули, которые выполняют анализ. Доступные модули можно найти в директории /pipal/checkers_available/.
Кроме того, модули можно просмотреть с помощью команды --list-checkers.
По умолчанию Pipal анализирует списки паролей и отображает тонны полезной информации с помощью модуля basic.rb (Basic_Checker). Однако, чтобы расширить возможности анализа Pipal, скопируйте нужные модули из директории checkers_available/ в checkers_enabled/.
Я рекомендую включить модули, начинающиеся с «EN_», в которых будут перечислены самые популярные религиозные термины, откровенные термины, цвета, транспортные средства и многое другое. Имейте в виду, что использование большого количества модулей увеличит продолжительность анализа. В некоторых случаях, когда анализировались большие (1 ГБ) списки слов, Pipal зависал и не мог завершить анализ.
Чтобы создать symlink ссылку на отдельный модуль из директории checkers_enabled/, используйте команду ниже.
~$ ln -s /path/to/pipal/checkers_available/ModuleNameHere.rb checkers_enabled/
Чтобы создать symlink ссылку на все модули «EN_», используйте команду ниже.
~$ ln -s /path/to/pipal/checkers_available/EN_* checkers_enabled/
Wildcard символ (*) указывает команде ln создавать symlink ссылку на каждый файл, начинающийся с «EN_», из директории checkers_enabled/.
Анализ списка паролей
Вернемся к доступным параметрам, опять же, есть два основных аргумента, которые всегда используются.
По умолчанию Pipal отображает только 10 самых распространенных статистических данных. Это значение по умолчанию достаточно небольшое, поэтому для его увеличения следует использовать аргумент --top. Во всех моих анализах паролей, приведенных ниже, будут показаны 500 лучших паролей. Аргумент --output используется для указания пути к файлу и директории, в которой сохраняются проанализированные данные.
Использовать Pipal очень просто. Введите следующую команду в терминал, чтобы начать анализ списков паролей.
~$ ruby2.5 pipal.rb --top 500 --output /path/to/output_file.pipal /path/to/password.list
Для полного анализа списка, содержащего миллионы паролей, может потребоваться несколько минут (до часа). Файлы, созданные Pipal, можно просматривать в любом текстовом редакторе, найденном в Kali. Я добавляю «.pipal» к моим выходным файлам, но это только для ясности; все они являются обычными текстовыми файлами. Выходные файлы также можно сохранить как «output_file.pipal.txt», если это необходимо.
Анализ паролей 000webhost.com
000webhost — это бесплатный веб-хостинг, который обслуживает миллионы пользователей по всему миру. Взлом 000webhost.com произошел в 2015 году, сейчас этой базе данных около 5 лет. Однако она содержит огромный датасет из более чем 13 000 000 паролей, поэтому было целесообразно включить ее в эту статью.
После анализа списка паролей 000webhost я узнал следующее:
Длина пароля
Большинство паролей были длиной всего восемь символов, что составляет 34% от всех уникальных паролей, найденных в списке слов паролей. Примерно 20% паролей были длиной всего семь или шесть символов — что удивительно мало.
8 = 67313 (34.58%)
6 = 33392 (17.15%)
9 = 29588 (15.2%)
7 = 24916 (12.8%)
10 = 23994 (12.33%)
Данная информация чрезвычайно ценна для хакеров, поскольку мы видим, что большинству списков паролей, предназначенных для удаленных брутфорс атак, требуется всего шесть-восемь символов, чтобы покрыть примерно 50% всех длин паролей. Терпеливый хакер будет включать в свой список пароли из девяти и десяти символов, чтобы приблизиться к 90% эффективности, но в большинстве случаев это может не потребоваться.
Добавление цифр
Люди нередко добавляют число или два к концу своих паролей, например, password123. Было обнаружено, что более 25% всех паролей имеют одну или две цифры, добавленные к паролю. Двузначные числа были самыми распространенными — 16%.
Одна цифра в конце = 22,230 (11.42%)
Две цифры в конце = 31,214 (16.03%)
Три цифры в конце = 18,447 (9.48%)
Наиболее распространенным однозначным числом, добавляемым к паролю, была цифра «1», которая использовалась 24 214 раз и составляла более 12% всех паролей. Затем последовало число «3», добавленное 16 362 раза, приблизительно каждый одиннадцатый пароль.
1 = 24,214 (12.44%)
3 = 16,362 (8.41%)
2 = 11,650 (5.98%)
0 = 9,687 (4.98%)
4 = 8,671 (4.45%)
Наиболее распространенными двузначными числами, добавленными к паролю, было число «23», использованное 9 054 раза, что составляет четыре процента.
23 = 9,054 (4.65%)
12 = 3,822 (1.96%)
01 = 3,629 (1.86%)
11 = 3,089 (1.59%)
00 = 2,791 (1.43%)
Самыми распространенными тремя цифрами, добавляемыми к паролю, было число «123», опять же чуть более четырех процентов.
123 = 7,938 (4.08%)
456 = 2,143 (1.1%)
234 = 1,644 (0.84%)
000 = 935 (0.48%)
007 = 635 (0.33%)
Числа 1, 3, 2, 23, 12, 123 и 456 были добавлены к более чем 33% (75 000+) всех паролей. Практически нет смысла включать остальные варианты в брутфорс списки. Статистически говоря, другие цифры появляются слишком редко, чтобы оправдать включение.
Специальные символы
Поскольку специальный символ «@» включен только в 0,8% всех паролей, можно спокойно пропустить пароли, содержащие специальные символы (или «1337 Speak»). Терпеливый хакер, который хочет создать обширный список, может подумать о включении некоторых из трех главных специальных символов. К сожалению, тот, кто надеется защитить свою учетную запись от брутфорс атак, может захотеть включить специальный символ в свой (вероятно, слабый) пароль.
@ = 1,614 (0.83%)
. = 881 (0.45%)
# = 780 (0.4%)
Топ 25 паролей
Любой, кто знаком со списками паролей, не удивится, увидев, что «123456» — это самый распространенный пароль, используемый для защиты 783 различных учетных записей. «Abcdef123» и «a123456» следуют близко друг за другом, оба были исользованы более 500 раз каждый.
123456 = 783 (0.4%)
Abcdef123 = 608 (0.31%)
a123456 = 580 (0.3%)
little123 = 468 (0.24%)
nanda334 = 391 (0.2%)
N97nokia = 367 (0.19%)
password = 315 (0.16%)
Pawerjon123 = 275 (0.14%)
421uiopy258 = 230 (0.12%)
MYworklist123 = 182 (0.09%)
12345678 = 175 (0.09%)
qwerty = 169 (0.09%)
nks230kjs82 = 152 (0.08%)
trustno1 = 150 (0.08%)
zxcvbnm = 138 (0.07%)
N97nokiamini = 132 (0.07%)
letmein = 131 (0.07%)
123456789 = 131 (0.07%)
myplex = 110 (0.06%)
gm718422@ = 109 (0.06%)
churu123A = 107 (0.05%)
abc123 = 105 (0.05%)
plex123 = 95 (0.05%)
any123456 = 94 (0.05%)
Lwf1681688 = 92 (0.05%)
Нередко встречаются странные или причудливые пароли, классифицирующиеся сильными в списках баз данных. Пароль «nanda123» и «N97nokia», например. Эти пароли использовались более 350 раз каждый. Непонятно, как это произошло, скорее всего, небольшая группа людей (вероятно, хакеры) создала несколько учетных записей в течение длительного периода времени и многократно использовала один и тот же пароль. При создании списка, хакер должен определить, следует ли включать конкретный пароль в список слов.
Топ 25 базовых слов
Вот в чем на мой взгляд, что Pipal действительно хорош. Он может опускать числа, добавленные к концам паролей, и анализировать слова, используемые в начале паролей. Эти данные особенно полезны для хакеров, потому что тогда они могут использовать базовые слова в сочетании с наиболее часто используемыми цифрами для создания обширных списков. Например, обратите внимание на слово «welcome», занимающее 24 место в списке ниже.
password = 735 (0.38%)
abcdef = 699 (0.36%)
plex = 546 (0.28%)
qwerty = 505 (0.26%)
little = 481 (0.25%)
nanda = 401 (0.21%)
n97nokia = 367 (0.19%)
pawerjon = 275 (0.14%)
letmein = 252 (0.13%)
uiopy = 230 (0.12%)
trustno = 200 (0.1%)
abcd = 189 (0.1%)
passw0rd = 186 (0.1%)
monkey = 184 (0.09%)
myworklist = 182 (0.09%)
master = 171 (0.09%)
pass = 166 (0.09%)
asdf = 164 (0.08%)
gondola = 164 (0.08%)
dragon = 156 (0.08%)
zxcvbnm = 154 (0.08%)
nks230kjs = 152 (0.08%)
hello = 148 (0.08%)
welcome = 141 (0.07%)
n97nokiamini = 133 (0.07%)
Если к «welcome» добавляются наиболее распространенные однозначные или двузначные цифры («1» и «23»), мы обнаруживаем, что этот пароль использовался несколько десятков раз.
Вот почему добавление общих цифр к базовым словам полезнее для списков, чем просто составление топа распространенных паролей. То, как мы отдельно выбираем базовые слова и выбираем к ним цифры, — это одно заметное несоответствие тому, как люди создают пароли. Лучше выделить две переменные, а затем объединить результаты в новом списке слов.
Анализ паролей VK.com
VK, социальная сеть, вдохновленная Facebook, является самым популярным веб-сайтом в России и входит в топ-20 самых популярных сайтов в мире. Сообщается, что в социальной сети зарегистрировано более 300 миллионов пользователей.
Информация о взломе VK.com появилась в 2016 году, но произошел он в 2012. Хотя паролям, обнаруженным в этой утечке, уже почти восемь лет, я не мог упустить возможность проанализировать массивный датасет из более чем 92 470 000 паролей.
После анализа списка паролей VK.com вот что я обнаружил:
Длина пароля
Более 50% всех паролей имеют длину от шести до восьми символов. Это согласуется с данными, найденными в датасете 000webhost, и подтверждает, что большинству списков слов не нужно содержать пароли длиной более девяти или десяти символов.
6 = 17,665,381 (19.1%)
8 = 17,370,491 (18.78%)
7 = 12,391,947 (13.4%)
9 = 9,815,371 (10.61%)
10 = 7,686,762 (8.31%)
Добавление цифр
Появилось меньше паролей с добавлением цифр по сравнению с данными 000webhost, на них приходится примерно 12 процентов.
Одна цифра в конце = 3,023,338 (3.27%)
Две цифры в конце = 5,326,255 (5.76%)
Три цифры в конце = 3,412,773 (3.69%)
Наиболее распространенные однозначные и двузначные числа — это снова «1», «3» и «23», что составляет около 9% (12 600 000) всех паролей.
1 = 5,919,242 (6.4%)
3 = 5,221,786 (5.65%)
0 = 5,079,464 (5.49%)
6 = 4,854,551 (5.25%)
23 = 1,474,608 (1.59%)
11 = 1,398,248 (1.51%)
89 = 1,337,274 (1.45%)
56 = 1,266,445 (1.37%)
123 = 1,135,684 (1.23%)
456 = 1,003,088 (1.08%)
789 = 638,695 (0.69%)
777 = 584,292 (0.63%)
Топ 25 паролей
Мы ясно видим, что с добавлением цифр появилось меньше паролей по сравнению с данными 000webhost, и среди пользователей из этого датасета больше популярны пароли, содержащие только цифры.
123456 = 653,959
123456789 = 383,177
qwerty = 263,565
111111 = 176,226
1234567890 = 144,494
1234567 = 131,279
12345678 = 99,885
123321 = 87,148
000000 = 85,468
123123 = 84,036
7777777 = 81,544
zxcvbnm = 79,199
666666 = 72,052
qwertyuiop = 69,178
123qwe = 62,680
555555 = 61,762
1q2w3e = 57,425
gfhjkm = 51,310
qazwsx = 50,686
1q2w3e4r = 49,676
654321 = 48,435
987654321 = 46,461
121212 = 41,896
777777 = 39,966
zxcvbn = 39,527
К сожалению, Pipal ограничен памятью (RAM) нашего компьютера, тем не менее он изо всех сил пытался проанализировать 92 000 000 наборов паролей VK.com. Pipal не смог определить процентное содержание каждого найденного пароля, базовые слова или пароли со специальными символами, но мы смогли выяснить, сколько раз каждый пароль появлялся.
Анализ паролей ClixSense.com
ClixSense — это англоязычная «Paid to click» онлайн-площадка для заработка, которая платит людям за участие в опросах и просмотр рекламных объявлений.
Утечки данных ClixSense были опубликованы в сети в 2016 году злоумышленниками, которые утверждали, что это подмножество более крупного датасета в 6,6 миллионов паролей. В моем списке ClixSense 2,2 миллиона паролей. Хотя это и не полный список, он все же предоставляет достаточно объемный датасет.
Проведя анализ паролей ClixSense.com, я обнаружил следующее:
Длина пароля
Пароли, состоящие из девяти или менее символов, опять же, являются наиболее распространенной длиной пароля в больших утечках. Это также подтверждает тот факт, что короткие пароли из шести-восьми символов должны входить списки для брутфорс атак.
8 = 526,916 (23.72%)
6 = 407,346 (18.33%)
9 = 314,908 (14.17%)
10 = 286,220 (12.88%)
7 = 285,726 (12.86%)
Добавление цифр
Однозначные, двузначные и трехзначные комбинации, чаще всего добавляющиеся к паролям, полностью соответствуют набору данных 000webhost.com.
Одна цифра в конце = 121,811 (5.48%)
Две цифры в конце = 239,247 (10.77%)
Три цифры в конце = 151,586 (6.82%)
1 = 177,622 (7.99%)
3 = 159,989 (7.2%)
0 = 119,043 (5.36%)
2 = 118,338 (5.33%)
23 = 71,414 (3.21%)
56 = 31,159 (1.4%)
12 = 30,915 (1.39%)
11 = 30,248 (1.36%)
123 = 58,898 (2.65%)
456 = 25,874 (1.16%)
234 = 11,166 (0.5%)
007 = 10,573 (0.48%)
Специальные символы
И снова, «@» и «.» специальные символы были обнаружены в немногим более 1% паролей. Это слишком маленький процент для включения в списки слов, но, опять же, использование специальных символов в паролях значительно снизит успешность атаки.
@ = 31,778 (1.43%)
. = 16,108 (0.73%)
_ = 14,711 (0.66%)
! = 11,248 (0.51%)
Топ 25 паролей
Пароль «123456» снова занимает ведущее место и используется 17 879 раз. И снова мы видим уникальный пароль «bismillah», который используется более 1000 раз (см. список «базовых слов» ниже). Нередко можно увидеть культурные или религиозные термины в датасетах веб-сайтов, популярных в определенной стране.
123456 = 17,879 (0.8%)
123456789 = 3,292 (0.15%)
12345678 = 2,093 (0.09%)
password = 1,970 (0.09%)
111111 = 1,892 (0.09%)
1234567 = 1,300 (0.06%)
iloveyou = 1,266 (0.06%)
qwerty = 1,187 (0.05%)
clixsense = 1,173 (0.05%)
000000 = 977 (0.04%)
abcdefg = 972 (0.04%)
123123 = 923 (0.04%)
pakistan = 803 (0.04%)
654321 = 745 (0.03%)
users = 736 (0.03%)
bismillah = 644 (0.03%)
abc123 = 615 (0.03%)
1234567890 = 537 (0.02%)
666666 = 525 (0.02%)
asdfgh = 524 (0.02%)
computer = 516 (0.02%)
aaaaaa = 502 (0.02%)
secret = 392 (0.02%)
iloveu = 391 (0.02%)
krishna = 391 (0.02%)
Топ 25 базовых слов
За исключением паролей, характерных для определенных веб-сайтов («clixsense» и «clix»), хакеры включили бы большинство этих слов в свои списки и добились бы значительного успеха в брутфорс атаках.
password = 3,937 (0.18%)
clixsense = 2,989 (0.13%)
qwerty = 2,798 (0.13%)
iloveyou = 2,101 (0.09%)
pakistan = 1,965 (0.09%)
clix = 1,285 (0.06%)
money = 1,271 (0.06%)
love = 1,244 (0.06%)
june = 1,208 (0.05%)
abcdefg = 1,117 (0.05%)
bismillah = 1,026 (0.05%)
april = 1,006 (0.05%)
welcome = 990 (0.04%)
july = 984 (0.04%)
jesus = 950 (0.04%)
abcd = 936 (0.04%)
master = 916 (0.04%)
angel = 899 (0.04%)
nokia = 896 (0.04%)
computer = 882 (0.04%)
krishna = 822 (0.04%)
march = 810 (0.04%)
august = 803 (0.04%)
daniel = 777 (0.03%)
secret = 766 (0.03%)
Анализ паролей µTorrent.com
µTorrent — это популярный peer-to-peer клиент для обмена файлами, управляемый BitTorrent.com. Утечка данных с форума µTorrent произошла в 2016 году и состояла из около 400 000 паролей. Этот датасет является наименьшим из представленных в этой статье, но он все же дает представление о том, как создаются пароли сегодня.
Длина пароля
Внезапно, 88% паролей имеют длину в восемь символов. Это много по сравнению с другими датасетами в этой статье. Тем не менее, только 3% паролей имеют длину девять или десять символов и подходят для брутфорса.
8 = 323,102 (88.66%)
6 = 11,314 (3.1%)
9 = 8,108 (2.22%)
7 = 7,962 (2.18%)
10 = 6,058 (1.66%)
Добавление цифр
Можно заметить, что чаще к паролю добавляется всего одна цифра. Исходя из данных о длине пароле, полученных нами ранее, делаем вывод что большинство базовых слов имеют длину всего семь букв и, вероятно, содержат «1» или «3» в конце пароля.
Одна цифра в конце = 45,852 (12.58%)
Две цифры в конце = 13,569 (3.72%)
Три цифры в конце = 4,923 (1.35%)
1 = 10,475 (2.87%)
3 = 8,904 (2.44%)
2 = 8,123 (2.23%)
0 = 7,925 (2.17%)
23 = 1,737 (0.48%)
11 = 978 (0.27%)
12 = 894 (0.25%)
00 = 837 (0.23%)
123 = 1,365 (0.37%)
456 = 521 (0.14%)
234 = 307 (0.08%)
000 = 252 (0.07%)
Специальные символы
Три самых популярных специальных символа использовались в около 0,5% всех паролей. Опять же, слишком малый процент, чтобы оправдать включение в списки, но обективно полезно использовать эти символы в качестве защиты от брутфорс атак.
/ = 833 (0.23%)
+ = 805 (0.22%)
@ = 627 (0.17%)
Топ 25 паролей
И вновь, мы видим «utorrent», характерный для веб-сайта пароль, который появляется среди первых четырех паролей.
123456 = 386 (0.11%)
forum123 = 152 (0.04%)
password = 116 (0.03%)
utorrent = 94 (0.03%)
qwerty = 71 (0.02%)
12345678 = 57 (0.02%)
123456789 = 57 (0.02%)
111111 = 46 (0.01%)
123123 = 37 (0.01%)
Mykey2012 = 35 (0.01%)
abc123 = 30 (0.01%)
000000 = 27 (0.01%)
trustno1 = 26 (0.01%)
letmein = 26 (0.01%)
torrent = 24 (0.01%)
qazwsx = 24 (0.01%)
Mykey2011 = 23 (0.01%)
1234 = 21 (0.01%)
666666 = 20 (0.01%)
shadow = 19 (0.01%)
12345 = 19 (0.01%)
1234567 = 19 (0.01%)
1q2w3e4r = 19 (0.01%)
dragon = 18 (0.0%)
fuckyou = 18 (0.0%)
Топ 25 базовых слов
«Utorrent» пароли находятся в верхней части списка базовых слов. Нередко люди включают в свои пароли название веб-сайта. Вероятно, существуют тысячи читателей Yandex Zen, использующих пароль «yandexzen», «yaZen» или какой-либо другой вариант.
utorrent = 205 (0.06%)
password = 166 (0.05%)
forum = 164 (0.05%)
qwerty = 128 (0.04%)
mykey = 62 (0.02%)
dragon = 49 (0.01%)
torrent = 42 (0.01%)
letmein = 36 (0.01%)
melto = 36 (0.01%)
shadow = 35 (0.01%)
abcd = 35 (0.01%)
qazwsx = 32 (0.01%)
monkey = 31 (0.01%)
trustno = 31 (0.01%)
fuckyou = 29 (0.01%)
superman = 28 (0.01%)
pass = 28 (0.01%)
alex = 28 (0.01%)
love = 28 (0.01%)
matrix = 27 (0.01%)
killer = 27 (0.01%)
master = 25 (0.01%)
passw0rd = 25 (0.01%)
nokia = 24 (0.01%)
welcome = 24 (0.01%)
Дайте угадаю... Ваш пароль «123456»?
Наиболее распространенными паролями в период между 2012 и 2016 годами являются «123456», «password» и «123456789» — с некоторыми различиями в том, как они ранжируются в зависимости от сайта. Учитывая, что эти данные охватывают шестилетний период, разумно полагать, что они все еще являются актуальными.
Более интересные данные были обнаружены при анализе базовых слов и цифр, добавленных к каждому паролю. Эти два датасета можно объединить, чтобы создать гораздо более эффективный список слов для подбора пароля.
Комментарии и вопросы приветствуются. До скорого :)
