ТОП-200 самых слабых паролей в 2019 году

27 декабря 2019

Независимые исследователи, пожелавшие остаться неизвестными, составили рейтинг 200 самых популярных паролей, проанализировав внушительную базу в 500 млн. взломанных учетных записей.

Топ-200 самых слабых паролей

Основу слабых паролей составляют легкие ряды цифр, букв, женские имена, виды спорта и еда. Самые смешные, на наш взгляд, пароли выглядят так. Полюбуйтесь на номер 1 и номер 5 в списке. И очень забавный - под номером 85.

1. 12345 2812220
5. password 830846
14. iloveyou 171657
10. qwerty 348762
20. test 139624
21. princess 122658
40. football 68495
48. chocolate 62325
57. 666666 56801
59. superman 56113
61. summer 55403
70. dragon 50640
85. whatever 46339
125. batman 37973
126. cheese 37956
127. banana 37910
129. secret 37784
133. aaaaaa 37568
138. welcome 36723

Больше всего специалистов по кибербезопасности волнует вопрос - ну как так? Из года в год одно и то же, хотя не совсем)

Скриншот из переписки на Habr.com
Скриншот из переписки на Habr.com

Кто слабее всех?

Сотрудники компании ImmuniWeb, озадаченные стремительным ростом корпоративных утечек, провели собственное исследование и выяснили, что из 21 млн. паролей, только 4,9 были уникальными. По процентному соотношению слабых паролей лидирует ритейл (47,29%).


Одни и те же пароли для личных и рабочих аккаунтов

Годом ранее компания AVAST делилась своими выводами. 55% пользователей не считают нужным создавать уникальные пароли для разных аккаунтов и используют одинаковые. Но при этом 94% из них осознают, что это опасно, но поскольку 46% считают, что ничего ценного в их аккаунтах не хранится, особо не заморачиваются. 19% никогда не меняют пароли, 29% меняют только после взлома. И только 10% из опрошенных придумывают по-настоящему сложные пароли.

Сотрудникам, отвечающим за информационную безопасность в компании, очень важно доносить до коллег, что использование одних и тех же паролей для личных и рабочих аккаунтов недопустимо и может повлечь за собой серьезные потери для бизнеса, такие как утечку персональных данных клиентов и сотрудников, а также коммерческих тайн. 

Частая смена паролей поможет?

Многие компании заставляют своих сотрудников менять пароли ежемесячно. Правильно ли это? Специалисты считают, что это не самый удачный вариант, потому что частая смена паролей в итоге приводит к их сильному упрощению (смотри топ-200 популярных паролей) или, что еще хуже, к хранению паролей на стикерах и под клавиатурой. Видимо, -  чтобы любой проходящий мог ими воспользоваться )

Что значит хороший пароль?

Хороший пароль должен содержать большие и маленькие буквы, цифры, знаки препинания, быть длинным (более 10 символов) и не быть осмысленным. Так, можно брать какого-нибудь персонажа из книги, сказки или фильма и на основании имени/названия создавать сильный пароль. Возьмем, к примеру

шестикрылый серафим

Задача: записать пароль на латиннице, используя следующие подмены:

  • звук «ч» на цифру «4»;
  • звук «ш» на цифру «6»;
  • звук «п» на цифру «5»;
  • первую и последнюю гласную в фразе сделать большими;
  • букву «а» на знак «@»;
  • букву «s» на знак «$»;
  • пробел между слов на знак «_»;

Получим в итоге:
[email protected]

Этот пароль уже нельзя назвать простым. На подбор такого пароля у хакера уйдет очень много времени. И, поскольку всегда используется один и тот же принцип генерации, можно по аналогии создавать легко запоминающиеся пароли для разных аккаунтов и программ.

Менеджеры паролей и двухфакторная аутентификация

Менеджеры позволяют генерить сложные пароли и хранить их в облаке, доступ к которому пользователь получает по мастер-паролю (и только его и нужно запомнить). Но история знает уже несколько случаев взлома менеджера паролей, взять к примеру, инцидент с LastPass в 2015.
И тем не менее, менеджер паролей - это более разумное решение, чем слабый пароль из списка топ-200. В случае, если менеджер паролей атакуют, саппорт тут же отправит сообщение всем пользователям с рекомендацией замены мастер-пароля.

И еще. Где только можно, используйте двух-факторную аутентификацию - это когда на телефон в виде смс приходит дополнительный код, по типу банковского 3D-Secure. Это дополнительная защита. Чем больше препон на пути взлома аккаунта - тем безопаснее для владельца.

Заявка на бесплатную консультацию

Компания
ФИО
Электронная почта
Телефон
Комментарий