Краткий анализ паролей YahooВ начале июля 2012 хакерская группа D33Ds Company выложила на своем сайте текстовый файл с электронными адресами и паролями более чем 450 тыс. пользователей Yahoo. По всей вероятности, кража данных стала возможным благодаря SQL-инъекции, т.к. в текстовом файле содержатся также названия переменных, столбцов и строк из MySQL таблиц. В этой статье дан краткий анализ скомпрометированных паролей Yahoo, который можно сравнить с нашим предыдущим анализом. Вся статистика собрана при помощи программы для аудита паролей Windows Password Recovery. 20 популярных паролейСписок 20 популярных паролей открывает 123456, что не стало неожиданностью. Воистину, этому паролю пора присваивать звание «самый популярный пароль всех времен и народов». Кроме того, в двадцатке присутствует 4 цифровых пароля. Согласно статистике, как минимум, каждый сотый пользователь Yahoo имеет пароль из следующей горячей 20-ки:
Ранее мы уже выссказывали мнение, что если на долю 10 самых популярных паролей приходится более 1%, то эта база считается ненадежной. В исследуемой базе этот показатель как раз стремится к 1%. Уникальность паролейНесмотря на то, что небольшое количество обрабатываемых паролей не дает точное представление о всей системе в целом, общие тенденции должны быть сохранены. А они говорят нам, что более 30% всех паролей не уникальны, т.е. пароль почти каждого третьего пользователя имеет дубликат в системе. Длина паролейСогласно графику длины, основная масса используемых паролей состоит из 6 - 10 символов. На их долю приходится около 87% всех паролей, что примерно соответствует базе данных Rockyou (86,5%). Самые популярные пароли состоят из 8 символов, почти 27% от общего числа.
Разнообразие наборов символовДлина пароля является важным показателем его устойчивости к взлому. Но гораздо более важным показателем считается разнообразие символов, из которых состоит пароль. Несмотря на условность, разнообразие символов принято измерять в количестве применяемых стандартных наборов (например, набор малых Латинских символов, или цифровой набор). Стаститика используемых наборов символов показывает, что простые пароли, состоящие из одного стандартного набора, выбирают 39,4% пользователей. Причем, 5,9% приходится на исключительно цифровые пароли. Пароли, состоящие из двух наборов составляют 53.1% от общего числа. Оставшиеся 7,6% пользователей выбирают самые сложные пароли, состоящие из трех или более наборов. Последовательность наборов символов в пароляхФормат паролейЕсли представить каждый символ пароля в виде маски, то следующий график даст нам представление о формате используемых паролей. Расшифровка маски пароля:
Ниже представлен список 20 популярных масок:
Количество покрываемых этими масками паролей составляет 261954 или 59.2% от общего числа. Как видно из графика, много паролей состоит из малых латинских символов. Но в основном, пользователи предпочитают добавлять одну или несколько цифр в конец слова. Под конец несколько графиков со статистикой встречающихся символов. О том, как надо и что не надо делать при создании паролей, читайте в нашем FAQ .
Документ доступен для свободного распространения |