Skip to main content

25 худших паролей 2011 года

В рубрике
5 votes

Буквально на днях на mashable.com была опубликована интересная статья, включающая перечень самых неудачных паролей текущего года. Всего в списке 25 комбинаций, которые используются огромным количеством пользователей интернета, и подбор которых злоумышленниками не занимает много времени.

Рейтинг составлен на основе утёкших в сеть баз пользователей различных сайтов.

На этих строках у читателя должно участиться сердцебиение, а зрачки расшириться. «Вдруг в этом списке есть мой пароль?»

  1. password
  2. 123456
  3. 12345678
  4. qwerty
  5. abc123
  6. monkey
  7. 1234567
  8. letmein
  9. trustno1
  10. dragon
  11. baseball
  12. 111111
  13. iloveyou
  14. master
  15. sunshine
  16. ashley
  17. bailey
  18. passw0rd
  19. shadow
  20. 123123
  21. 654321
  22. superman
  23. qazwsx
  24. michael
  25. football

Как видно, наихудший выбор — это password. Уйти от очевидности, добавив вместо «0» вместо «o» — не лучший выход: passw0rd находится на 18 строке.

Если вы нашли свой пароль среди перечисленных — надеюсь, вам понятно, что надо пойти и сделать как можно скорее ;)

Простые правила, которых следует придерживаться, придумывая крепкий пароль

  • Должен быть не короче 8 символов.
  • Должен содержать в себе большие и маленькие буквы, цифры, спец. символы (если возможно).
  • Для разных сервисов — разные пароли! Понимаю, нелегко, но стоит того. Можете использовать любой на ваш выбор менеджер хранения паролей.



Какие пункты вы бы добавили в этот короткий список правил?

Аватар пользователя Бакина Маргарита

Интересно, но мне кажется, что список популярных паролей мало меняется год от года. Почему???

Очень хочется надеяться, что наш народ на JJ все-таки придумывает алгоритмы для создания паролей. Как думаешь?

Аватар пользователя linkins_

список популярных паролей мало меняется год от года
вот уж точно, затёртый qwerty и последовательности чисел туда-сюда-вообще классика.. и все как один короткие..
сразу вспоминается цитата с bash.org
: Пришедшие сегодня безопасники оценили мой комп, как самый защищенный в офисе.
: Ибо у всех установлены пароли "1111", а у меня внезапно "2222".
: Но и это не все: я - единственный в офисе, у кого нет лежащей на клавиатуре бумажки с логином и паролем!

Аватар пользователя Тимченко Александр

Для сравнения за 2010 год:
2010

Откуда взят первый пункт советов?
Могу показать, что даже 8 символов довольно-таки мало.

В любом случае - сложный пароль не гарантирует безопасность. Включенный мозг - вот это главное.

Аватар пользователя WTH

более хороший пароль на сколько процентов увеличивает шанс быть не взломанным? или просто убирает категорию "крутых" школьников открывших первых раз брут?

Аватар пользователя Шевченко Станислав

Ровно на столько на сколько он сложнее, только почти в геометрической прогрессии. Каждый добавленный символ увеличивает время подбора в разы.

Вот информация, в конце статьи есть и про длинну пароля. Да и сама статья интересная

http://www.golubev.com/about_cpu_and_gpu_ru.htm

Вывод: неутешительный для brute-force атаки. При правильно выбранном пароле из 8-ми символов подобрать его в осмысленное время просто невозможно (С)

Автор по ссылке выше

Аватар пользователя Тимченко Александр

Стас, автор этой статьи исследует подбор пароля в архиваторах, где осуществляется задержка по времени за счет того, что прежде чем сравнить введенный пароль с сохраненным он хешируется/шифруется около 50000 раз.
Это безусловно замедляет процесс брут-форса.
В это же время в сети шифрование применяется 1-2 раза (либо hash(pass), либо (hash(pass + hash(salt)) или что-то подобное).

Можно провести аналогичные расчеты.
Так как в сети есть сайты, где после ввода неправильного пароля, система не требует ввода капчи, то можно применить следующие рассуждения.

Предположим, что один компьютер сможет перебирать 1 миллиард вариантов в секунду (примерно такое предположение делает и автор статьи).

Посмотрим со стороны человека, который хочет подобрать пароль.
Он знает, что длина пароля - 8 символов, а также то, что используются символы из диапазонов [a-zA-z!@#$%^&*()_] (весь алфавит + спец.символы). Итого 62 варианта на каждый символ пароля, т.е. всего 62^8 вариантов.
Это 218340105584896 вариантов. Разделим на 10^9. Это примерно 218340 секунд.
А это ~60 часов, что есть примерно 2,5 дня.

Теперь можно принять в расчет то, что есть задержка при отправке запроса и его обработке. Грубо примем, что это замедлит вычисления в 100 раз.
Результат - 250 дней.
А теперь предположим, что злоумышленник использует не один компьютер, а хотя бы 5.
Результат - 50 дней. На мой взгляд мало.

Если я где-то не прав в своих вычислениях - поправьте меня.

Аватар пользователя admin

При проведении расчётов скорости подбора пароля сферического пользователя в вакууме — всё верно. Но жизнь и технологии по защите от брутфорса накладывают свой отпечаток: правильно настроенные frontend'ы, системы балансировки нагрузки/антиддос, вменяемый админ, защита каптчей, ограничение на количество неудачных попыток ввода...

А ещё тут заранее надо знать, что символов именно 8. В ином случае придётся ещё и для длин 1-7 проверить варианты. Доп. время.

Я бы перефразировал: пароль должен быть никак не короче 8 символов (ограничение на длину пароля снизу). Оптимальное значение между сложностью подбора и лёгкостью запоминания владельцем.

Аватар пользователя Тимченко Александр

антиддос, вменяемый админ, защита каптчей, ограничение на количество неудачных попыток ввода...

Первый, третий и четвертый пункт есть далеко не везде. (Далеко можно не ходить, посмотрим на наш сайт. Капчу я не увидел Smile, хотя, может, плохо старался).
А вменяемый админ - вещь еще та. Если нет вменяемого админа - нет и остальных пунктов Laughing out loud

Аватар пользователя admin

Капчу можно сделать Smile А надо?

Аватар пользователя Тимченко Александр

Я думаю, что для нашего портала это пока не нужно.

Аватар пользователя Шевченко Станислав

Поправлять не буду, а лишь дополню.
цена вопроса - 5 компов и 50 дней работы, электричество, воду и аренду помещения с инетом в расчет брать не будем. Цифра получается не мизерная.
Вывод - даже 8-ми символьный пароль перебирать экономически не выгодно.
Прошли те времена когда пароли подбирали ради спортивного интереса:-(