Перейти к содержанию

25 худших паролей 2014 года: что изменилось по сравнению с 2010-м?

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

На популярном техническом сайте Gizmodo был опубликован список самых популярных паролей 2014 года. Как и все публикации в этом жанре, статья высмеивает «этих болванов» (дословно — «those morons»), пользующихся неимоверно слабыми паролями.

В этом есть изрядная доля иронии: одна из массовых утечек в далеком 2010 году произошла с издательством Gawker Media, которому и принадлежит Gizmodo. Тогда хакерам удалось расшифровать около 200 тыс. паролей и составить список 50 самых популярных. Будет интересным упражнением сравнить их с нынешним списком: насколько изменилось отношение людей к безопасности за это время?

25 Worst Passwords of 2014

Очевидно, не так сильно, как того хотелось бы: 16 из 25 самых популярных (и хотя бы по одной этой причине самых неудачных) паролей 2014 года можно обнаружить среди первых 25 позиций «того самого» списка утечки Gawker Media. Если сравнить со всеми 50 паролями из той утечки, то обнаружится, что новых всего-навсего четыре штуки. Так что если вы используете в качестве пароля «access», «mustang» или поистине прекрасный «696969», то следует констатировать: вы относитесь к паролям куда серьезнее, чем большинство людей.

С 2010 года ничего не изменилось: в списке худших паролей 2014-го почти нет новых

Tweet

Что касается списка, то он составлен компанией SplashData на основе множества массивов паролей, попавших в Сеть в 2014 году. Как вы можете видеть ниже, SplashData выкладывает подобные списки уже не первый год и отмечает изменения, которые в них происходят. Я оставил их ремарки и добавил свои — пароли, которые фигурируют в списке топ-50 из утечки Gawker, отмечены звездочкой.

  1. 123456 (без изменений)*
  2. password (без изменений)*
  3. 12345 (вверх на 17 позиций)*
  4. 12345678 (вниз на 1)*
  5. qwerty (вниз на 1)*
  6. 123456789 (без изменений)
  7. 1234 (вверх на 9)*
  8. baseball (новый)*
  9. dragon (новый)*
  10. football (новый)*
  11. 1234567 (вниз на 4)*
  12. monkey (вверх на 5)*
  13. letmein (вверх на 1)*
  14. abc123 (вниз на 9)*
  15. 111111 (вниз на 8)*
  16. mustang (новый)
  17. access (новый)
  18. shadow (без изменений)*
  19. master (новый)*
  20. michael (новый)*
  21. superman (новый)*
  22. 696969 (новый)
  23. 123123 (вниз на 12)*
  24. batman (новый)*
  25. trustno1 (вниз на 1)*

Интересно, что 80% паролей, которые составители свежего списка пометили как «новые», на самом деле фигурировали среди 50 «лучших» из утечки Gawker. Также интересно, что «123456789» для списка 2014 года не является новым (он был в списке за 2013 год), но среди 50 паролей из списка 2010 года его не было.

The 25 most popular passwords of 2014 are a reminder that we're all morons: http://t.co/uIT1t3dYRG pic.twitter.com/JhDByxjWep

— Gizmodo (@Gizmodo) January 20, 2015

Справедливости ради отметим, что пароли, утекшие в свое время у Gawker, были зашифрованы. Шифрование паролей на стороне сервера — стандартная мера безопасности. Но так уж получилось, что пароли эти были настолько смехотворны, что их было несложно извлечь из зашифрованных данных. Не будем забывать, что в силу специфики Gawker речь идет о технически подкованных пользователях: как мы видим, даже они относятся к паролям откровенно наплевательски.

В выводе, который можно извлечь из этой истории, нет ничего нового: люди безнадежны, когда дело касается паролей

В выводе, который можно извлечь из этой истории, нет ничего нового: люди безнадежны, когда дело касается паролей. Или, если смотреть шире, люди безнадежны, когда речь заходит об информационной безопасности в целом. Поэтому специалистам по безопасности придется взять дело в свои руки. Сложно винить пользователей в том, что их безалаберность стала причиной утечки вроде этой. Или той, в которой фигурировали фотографии знаменитостей. Ну вот такие мы, люди. Безалаберные. Дальше-то что?

Я могу рассказать вам (да что там, уже рассказывал), как можно создавать хорошие пароли, которые несложно запомнить. Это не квантовая физика — почти все неплохо понимают, каким должен быть пароль. Другое дело, что всем нам очень лениво помнить кучу надежных паролей для разных ресурсов. Поэтому мы либо используем один пароль на множестве сайтов, либо делаем пароли слишком простыми.

Все знают, как важно пользоваться надежными паролями. Но что такое надежный пароль и как его придумать? Ответ здесь: http://t.co/sUG6HsVq3u

— Kaspersky Lab (@Kaspersky_ru) December 16, 2014

Именно поэтому такие штуки, как разработанная Twitter платформа аутентификации Digits или технология Apple Touch ID, а также все остальные системы аутентификации на основе биометрии или одноразовых SMS-паролей выглядят очень многообещающими. Да, они неидеальны — у каждой из них есть недостатки. Но с ними мы получаем возможность экспериментировать с разными формами аутентификации и их комбинациями. И, может быть, когда-нибудь эти эксперименты все-таки позволят нам избавиться от самого неидеального варианта — пароля.



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
Опубликовано

Суперменов наверняка в десятки раз больше, но они почему-то проигрывают Михаилам :)

 

А если серьёзно отнестись к данной теме, то никому не помешало бы проверить свои пароли по базе утекших паролей от почтовых сервисов.

 

Я опрометчиво считал, что мои пароли весьма уникальны, пока не проверил их по материалам тех нашумевших утечек. Выявилось 80% совпадение. То есть если взломщики совершали бы «атаку по словарю», то вполне могли бы оттяпать кусочек моей инфы.

 

Так что сам этот рейтинг бесполезен, а вот выводы из всего этого нужно сделать правильные и не скупиться на @#$% при создании паролей ))

Ссылка на комментарий
Поделиться на другие сайты
Mrak Корифей

Mrak

Опубликовано
Опубликовано

 

Я опрометчиво считал, что мои пароли весьма уникальны, пока не проверил их по материалам тех нашумевших утечек. Выявилось 80% совпадение. 

Где это посмотреть можно? 

Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • adminuniscan
      KSMG как сбросить пароль через консоль
      От adminuniscan
      Не пускает в вебморду 
       
      Как сбросить пароль через консоль сервера?
    • KL FC Bot
      Новые требования к надежности и хранению паролей
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
    • olegyam
      [РЕШЕНО] Постоянно всплывает окно с заголовком яндекс защитник домашняя страница изменилась
      От olegyam
      Помогите избавиться от всплывающего окна
      логи прилагаю
      CollectionLog-2024.09.29-00.17.zip
    • KL FC Bot
      Сравнение заголовков From и Reply-To | Блог Касперского
      От KL FC Bot
      Недавно нам удалось повысить точность обнаружения целевого фишинга и атак при помощи компрометации деловой переписки (BEC) путем добавления одной маленькой и, в общем-то, банальной проверки. Если письмо по какой-то причине вызывает у нашего почтового движка подозрение, мы сверяем домен из технического заголовка From с доменом из поля Reply-To. Смешно, но эта простая проверка позволяет отсеять значительную часть достаточно сложных атак. В этом посте рассказываем, почему это работает.
      Как выявляют сложные почтовые атаки
      Операторы целевых почтовых атак традиционно прикладывают значительные усилия для маскировки своих писем под легитимные. Это не те ребята, которые прикладывают к письму файл, где детектируется троян, да и фишинговые ссылки они стараются скрыть под несколькими слоями хитроумных уловок. Поэтому защитные решения, способные выявлять письма с такими атаками, редко выносят вердикт на основании какого-то одного критерия — чаще всего они выявляют совокупность подозрительных признаков. Сверка полей From и Reply-To — это еще один из таких критериев.
       
      View the full article
    • ska79
      Как изменить или расширить частоту fm диапазона. Вопрос радиолюбителям
      От ska79
      Приобрел портативный саундбар SA-2000 ENERGY. 
      Судя по количеству радиостанций в нём используется японский стандарт fm диапазона - 76-95 МГц? возможно ли переделать до 108 мгц?
×
×
  • Создать...