Весной-2019 аналитики из DeviceLock провели анализ утекших паролей. Уникальных пар «логин/пароль» тогда насчитывалось около 4 млрд. К сегодняшнему дню прибыло ещё почти 900 млн новых. Всего с 2017 года DeviceLock проанализировли 29,5 млрд паролей (включая неуникальные).
Под логином здесь понимается имейл. Те пары, в которых в качестве логина использовалось имя пользователя, не являющееся адресом электронной почты, были отброшены до подсчёта.
Источники данных – сообщества, занимающиеся восстановлением паролей из хешей (например, hashes.org) и теневые форумы, где выкладываются массовые утечки расшифрованных (восстановленных) и хешированных паролей.
Данные перед анализом при этом чистятся от «мусора» (пустых и повторяющихся записей). Дисквалифицируются автоматически сгенерированные пароли и массовые автоматические регистрации. Кириллические символы приводятся к единой кодировке.
За прошлый год можно отметить следующие крупные утечки (свыше 25 млн пар «логин/пароль»), попавшие в новое исследование:
- генеалогический сервис «MyHeritage» - 180 млн
- приложение для фитнеса и учета питания «MyFitnessPal» - 49 млн
- облачный сервис создания видео «Animoto» - 40 млн
- онлайн магазин одежды «Shein.com» - 31 млн
- образовательный портал «Chegg» - 29 млн
- разработчик онлайновых игр «Zynga» - 26 млн
Цифры выше – это не размер утечки, а количество расшифрованных паролей, доступных на момент исследования. Сами утечки могли произойти и ранее, однако только в 2019 году стали доступны расшифрованные пароли.
На момент исследования в базе паролей:
- 4,883,711,954 всего паролей (было 4,039,047,139)
- 779,281,749 паролей содержат только цифры (было 652,395,037)
- 1,275,706,800 паролей содержат только буквы (было 1,060,863,995)
- 13,696,084 паролей содержат буквы кириллического алфавита (было 12,205,832)
- 159,948,243 паролей содержат буквы, цифры и спецсимволы (было 129,628,109)
- 3,126,556,695 паролей содержат 8 и более символов (было 2,604,395,502)
- 792,123,298 паролей содержат более 10 символов (было 661,107,165)
- 1,031,293,444 паролей содержат менее 7 символов (было 817,874,728)
На основании данных был составлен топ паролей и логинов. В скобках указывается старое место записи в топе (если она в него попадала ранее), жирным – новые записи, которые не попадали в топ ранее.
10 самых популярных паролей:
- 123456
- 123456789
- qwerty
- 12345 (5)
- password (4)
- 12345678 (8)
- qwerty123 (6)
- 1q2w3e (7)
- 111111
- 1234567890
Топ-10 самых популярных паролей из утечек только за 2019 год:
- 123456
- 123456789
- 12345
- qwerty
- password
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
10 самых популярных паролей, содержащих только буквы:
- qwerty
- password
- qwertyuiop
- qwert
- iloveyou
- zxcvbnm
- unknown
- qazwsx (7)
- dragon (8)
- monkey (9)
10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:
- Aa123456.
- )4ever (1)
- 1qaz@WSX (2)
- P@ssw0rd (3)
- p@ssw0rd (5)
- 123456QQAqqa_ (4)
- 1qaz!QAZ
- Spiritwear_2004
- wowecarts@123 (6)
- film@123 (8)
10 самых популярных кириллических паролей:
- пароль (2)
- йцукен (3)
- я (1)
- любовь
- привет
- наташа (7)
- люблю (6)
- максим
- андрей
- солнышко
10 самых популярных доменов:
- yahoo.com (2)
- gmail.com (4)
- mail.ru (1)
- hotmail.com (3)
- rambler.ru (5)
- yandex.ru
- ya.ru
- aol.com
- bk.ru (7)
- qq.com (9)
10 самых популярных имен:
- info
- rambler.ru
- mail.ru
- admin
- office
- contact (8)
- sales (9)
- adam (7)
- john
