Большинство юзеров слишком ленивы, чтобы использовать длинный и сложный пароль. Но даже если бы все юзеры выбирали максимально длинный и сложный пароль - это не увеличило бы время атаки брутом с использованием словарей, составленным из утечек.

В новостях то и дело говорят об утечках баз данных с паролями из Yahoo (три раза подряд!), LinkedIn, eBay, Twitter и Dropbox. Всего утекли базы на десятки миллионов учетных записей.

Хакеры проделали гигантскую работу, восстановив из хешей большую часть паролей, а специалист информационной безопасности Марк Бернетт собрал все утечки воедино, проанализировал ситуацию и сделал интереснейшие выводы.

По данным Марка, в том, какие пароли выбирают англоязычные пользователи, прослеживаются четкие закономерности, которые он собрал свел в общую статистику.

Самые частые пароли

• 0,5% в качестве пароля используют слово password;
• 0,7% в качестве пароля используют последовательности password или 123456;
• 0,9% используют password, 123456 или 12345678;
• 1,6% используют пароль из десятки самых распространенных (top-10);
• 4,4% используют пароль из первой сотни (top-100);
• 9,7% используют пароль из top-500;
• 13,2% используют из top-1000;
• 30% используют из top-10000.

Дальше Марк не анализировал, но его последовательность можно продолжить, воспользовавшись списком из 10 миллионов самых популярных паролей. По этим данным, пароли из этого списка использует всего 33% пользователей, а длительность атаки растет на три порядка.

Выводы

Что нам дает эта информация? Вооружившись статистикой и словариком из 10 тысяч самых распространенных паролей, можно попробовать расшифровать файлы и документы пользователя даже в тех случаях, когда о самом пользователе ничего не известно (или просто не удалось получить доступ к компьютеру и извлечь его собственные пароли). Такая простейшая атака по списку из всего 10 тысяч паролей помогает заполучить пароль в 30% случаев.

Скачать