Вот уже восемь лет подряд эксперты компании SplashData составляют список 100 самых худших паролей года. Так они надеются привлечь внимание к проблеме, полагая, что подобная статистика заставит пользователей задуматься о безопасности и осознать, что комбинации вроде «123456» — это совсем небезопасные пароли. Но даже после многочисленных утечек данных, взломов, атак шифровальщиков и других инцидентов, список возглавляют все те же «password» и «123456».
Как и в прошлые годы, аналитики изучили более 5 000 000 паролей, «утекших» в широкий доступ во время различных инцидентов. К сожалению, по сравнению с прошлыми годами список изменился мало, пользователи по-прежнему охотно используют простейшие комбинации вроде «qwerty» и «password», а также имена знаменитостей (например, в этом году в топ-25 появилось слово «donald»), попокультурные термины, различные бренды и тому подобное.
По подсчетам SplashData, порядка 10% пользователей применяют хотя бы один из паролей, вошедших в список худших в этом году. Еще 3% пользователей применяют самый плохой пароль, то есть «123456».
В итоге список 25 худших паролей 2018 года выглядят следующим образом:
Пароль |
В сравнении с 2017 годом |
1 |
123456 |
Без изменений |
2 |
password |
Без изменений |
3 |
123456789 |
↑3 |
4 |
12345678 |
↓1 |
5 |
12345 |
Без изменений |
6 |
111111 |
Новый |
7 |
1234567 |
↑1 |
8 |
sunshine |
Новый |
9 |
qwertry |
↓5 |
10 |
iloveyou |
Без изменений |
11 |
princess |
Новый |
12 |
admin |
↓1 |
13 |
welcome |
↓1 |
14 |
666666 |
Новый |
15 |
abc123 |
Без изменений |
16 |
football |
↓7 |
17 |
123123 |
Без изменений |
18 |
monkey |
↓5 |
19 |
654321 |
Новый |
20 |
!@#$%^&* |
Новый |
21 |
charlie |
Новый |
22 |
aa123456 |
Новый |
23 |
donald |
Новый |
24 |
password1 |
Новый |
25 |
qwerty123 |
Новый |
Не менее интересное исследование, посвященное худшим паролям года, опубликовали специалисты компании Dashlane. Они составили список самых крупных просчетов в данной области. Десятка самых позорных случаев 2018 года, по версии Dashlane, выглядит так:
- Канье Уэст. Продемонстрировал всему миру свой пароль («000000»), разблокировав телефон на встрече с президентом Дональном Трампом, перед десятками телекамер.
- Пентагон. Аудит Счетной Палаты США выявил, что менеджмент учетных данных находится на столь низком уровне, что команде удалось подобрать пароль администратора к ряду сиситем Пентагона всего за 9 секунд. Судя по всему, никто не потрудился сменить учетные данные по умолчанию.
- Владельцы криптовалют. Когда цены на криптовалюты подскочили в начале 2018 года, многие пользователи, покупавшие или добывавшие токены раньше, поняли, что не помнят паролей от своих кошельков. В попытках вспомнить, пользователи прибегали к самым странным практикам, и СМИ рассказывали даже о попытках нанять специалистов по гипнозу.
- Nutella. В день худших паролей (да, существует и такой) отличилась компания Nutella, порекомендовавшая своим читателям в Twitter использовать более стойкие и надежные пароли. Например, «Nutella».
- Британские юристы. ИБ-специалисты обнаружили в даркнете более миллиона комбинаций корпоративных email-адресов и паролей почти 500 британских юридических фирм. Хуже того, в большинстве случаев пароли хранились в формате простого текста.
- Штат Техас. Информация о 14 000 000 избирателей из Техаса была свободно доступна в онлайне, на сервере, не защищенном паролем.
- Сотрудники Белого дома. Один из сотрудников Белого дома записал свои логин и пароль на официальном бланке, а затем забыл бумагу на автобусной остановке в Вашингтоне.
- Google. Студент-инженер из Индии сумел получить доступ к спутнику телевещания, залогинившись через административную страницу Google, оставив пустыми поля для ввода логина и пароля.
- ООН. Сотрудники ООН используют в работе Trello, Jira и Google Docs, однако не совсем думают о безопасности и многие документы не защищены паролем. То любой человек, который знает ссылку, может получить доступ к потенциально секретным данным.
- Кембриджский университет. Случайно забытый на GitHub пароль (в формате простого текста) позволил узнать личные данные миллионов пользователей Facebook, которые использовали приложение myPersonality, созданное исследователями Кембриджа.
Источник