15:29
22/1/2010

Jakiś czas temu, za pomocą SQL injection z serwisu RockYou.com wykradziono bazę 32 milionów (!!!) haseł użytkowników w jawnym tekście. Włamywacz udostępnił hasła (bez loginów) w sieci, a jedna z firm zajmujących się bezpieczeństwem poddała je analizie i doszła do druzgoczących wniosków.

Jakie hasło jest najpopularniejsze?

Okazuje się, że 50% użytkowników jako hasło wybrało imię lub słowo, które można znaleźć w słowniku. Popularne były także sekwencje (kolejne liczby lub litery, które są obok siebie na klawiaturze), a najpopularniejszym hasłem zostały:

  • 1 .123456 użyte 290731 razy
  • 2. 12345 użyte 79078 razy
  • 3. 123456789 użyte 76790 razy
  • 4. Password użyte 61958 razy
  • 5. iloveyou użyte 51622 razy
  • 6. princess użyte 35231 razy
  • 7. rockyou użyte 22588 razy
  • 8. 1234567 użyte 21726 razy
  • 9. 12345678 użyte 20553 razy
  • 10. abc123 użyte 17542 razy
  • 11. Nicole użyte 17168 razy
  • 12. Daniel użyte 16409 razy
  • 13. babygirl użyte 16094 razy
  • 14. monkey użyte 15294 razy
  • 15. Jessica użyte 15162 razy
  • 16. Lovely użyte 14950 razy
  • 17. michael użyte 14898 razy
  • 18. Ashley użyte 14329 razy
  • 19. 654321 użyte 13984 razy
  • 20. Qwerty użyte 13856 razy

Jeśli przyjrzeć się długości haseł, otrzymujemy następujący rozkład:

Długości haseł

A oto jak przedstawia się wykorzystanie do budowy hasłą różnych znaków (małych, dużych liter, znaków specjalnych i cyfr):

Stopień skomplikowania hasła

Autorzy raportu są przerażeni, gdyż większość z internautów najprawdopodobniej korzysta z tego samego hasła do wielu serwisów. Z pełną treścią raportu można zapoznać się tutaj.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

31 komentarzy

Dodaj komentarz
  1. Za przechowywanie haseł w plaintext powinni karać. ;) Wiadomo, że większość osób używa takich samych haseł, a serwisy robią coś takiego(to świadczy, że administratorzy mają gdzieś użytkowników). Wprowadzenie szyfrowania nie jest jakimś szczególnie trudnym zadaniem.

  2. “Autorzy raportu są przerażeni, (…)”

    Znaczy, potrzebowali analizy 32 milionów haseł, żeby odkryć oczywistą oczywistość i się przerazić? (-;

  3. “7. rockyou użyte 22588 razy” sorry, ale LOL :D!

  4. @lukasz
    W przypadku takich haseł szyfrowanie nic nie da…

    Brakuje mi na tej liście najbezpieczniejszego hasła, którego używa każdy admin: zaq1@WSX :) .

  5. a dupa123? :D

  6. Tag nie jest domknięty i cała strona po “17. michael użyte 14898 razy” jest pisana pogrubioną czcionką.

  7. Tu nie chodzi o niedomknięty tag, ale o niepotrzebny znacznik przed słowem “użyte” Panie megawebmaster ;-)

    Pozdro :)

  8. Pełnej listy haseł nie opublikujecie?

  9. andy: pełna waży 150M i od jej publikowania jest torrent ;-)

  10. qwerty dopiero 20-te?. Liczylem na lepszy wynik. A co z “dupa.8”? ;)

  11. Może jakiś link jednak?

  12. Mam nadzieję, że autorzy są “przerażeni” niechlujnym kodowaniem – pozwoleniem na SQL injection oraz przetrzymywaniem niezahaszowanych i nieposolonych haseł, a nie jakością samych haseł. Przecież nikt nie wybruteforce’ował 32 milionów łatwych haseł ze słownika (tym razem ;)))). Być może ci ludzie nie publikowali tam nic istotnego, na co warto by marnować czas na pamiętanie hasła. Być może 32 miliony amerykanów źle wiąże sznurówki i pewnego dnia wielki pociągacz za sznurówki może ich wszystkich przewrócić na całe 10 sekund życia?! Hasło “rockyou” z top 10 zapewne nie było używane gdzie indziej. W każdym bądź razie publiczna trwoga (bo przedrukowują “eksperta” masowe media inne niż Niebezpiecznik) nad jakością haseł po analizie umożliwionej przez wykradzioną bazę danych brzmi bardzo wątpliwie etycznie. (dobra znam tę linię erystyczną – nie było zabezpieczeń bazy – nie było włamania – publiczny dostęp do danych jest legalny – wówczas po prostu zakładamy, że w związku z ciągłą zawodnością technologii Internet nie wspiera weryfikacji tożsamości człowieka, każdy może się zalogować na każdego i oceny złożoności haseł nie mają racji bytu). Analiza popularności haseł to jak dla mnie jawnie wskazówka dla wścibskich-kolegów i domorosłych-krakierów, a nie troska o użytkowników tych kont. Niebezpiecznik normalnie to raportuje i z racji profilu wydawniczego wyłączam spod oceny etycznej, ale jak ktoś “popada w depresję” nad tymi hasłami na Techcrunch, to już cynizm.

  13. Who the f… is Nicole?

  14. używam kilku haseł i jedno z nich jest tak proste; tak tępe, że chyba nie do odgadnięcia ;) a poza tym jakoś nie mam parcia na hasła, bo i po co? Jak ktoś się uprze, by wykraść/zdobyć/złamać to i tak to zrobi.

  15. Ej no, moment, są hasła i hasła. Ja do ważnych serwisów (poczta, bank) mam hasła silne, ale do całej masy różnych stron, gdzie trzeba się zalogować, żeby wpisać komentarz, nie potrzebuję wielkiej ochrony, zapamiętywania i prywatności – tam mam wszędzie to samo hasło, typu asdasd. Wielkie mi mecyje, już widzę, jak międzynarodowy gang hakerów kradnie mi dane, żeby wpisać komcia z moim loginem…

  16. haha, a moje super tajne hasło: asdasd nie znajduje się na liście. losers ;P

  17. Widac, ze faktycznie ludzie nie dbaja za bardzo o swoje bezpieczenstwo, moze to kwestia wygody

  18. Szczerze dziwie się, ze nie ma tam ‘qwerty’ z malej litery, a aż tyle osób stawia na cyferki ;x

  19. […] artykułem na temat wycieku haseł postanowiłem poczynić coś w kierunku swojego e-bezpieczeństwa. Co prawda moje dotychczasowe […]

  20. A na którym miejscu jest dupa.8?

  21. Po wypakowaniu plik waży prawie 280 MB.. Sporo, jak na plik txt. Na tyle sporo, ze mój komp sobie z tym plikiem zupełnie nie radzi haha! Pozdrawiam!

  22. Ten plik z hasłami trzeba przeglądać pod linuxem. Mi Windows też sobie z nim nie radzi, natomiast linux normalnie otwiera.

  23. F3 zamiast F4 w TotalCommanderze i Windows da radę

  24. Włodzimierz, dzięki za przydatną informację! TC otworzył bez najmniejszego problemu. Widzę, że na liście obok “dupa.8” pojawiła się wersja >bezpieczniejsza< czyli "dupa.8.8" :D

  25. Krótko mówiąc serwisy powinny hasła szyfrować, hashować, i przede wszystkim polityka haseł powinna zabraniać tworzenia takich prostyc, zgodnych z imionami, itd…h!!

  26. Bardzo ładne hasła mają niektórzy ludzie:

    * !duckykuCuteducks!VjonV!birds!elese
    * 12345677654321BRITISH KNIGHTS CREW
    * 2 Universal Studios Tix – Free! Call Us Today For Hot Tix Deals.
    * 3783443loveandrewmycutiepie2008hatekatie
    * 6-penteno-4-hidroxibutiril-2-mauricio
    * A Very Special Love Kilig Scenes
    * Bill Kaulitz und Andreia Kaulitz
    * C:\\Documents and Settings\\Cs\\My Documents
    * Delicious Baby Gurl That u cant have
    * HI MY NAME IS MARLENE WHAT IS YOUR NAME
    * I agree to the Terms of Service.
    * I am a monument to all your sins
    * I love tokio Hotel mai ales bill
    * Lets you come back for your Countdown Timer
    * Never give out your password or credit card number in an instant message conversation.
    * Nothing is better than chocolate
    * The Odyssey was a very crafty person and also a good lair. From this he shows his characteristic which mean that he was the type of person that know what he wanted and how to get it. He tricked many people included his own son and his loyal swineherd Euma
    * bettercrippledinbodythancorruptinmind
    * fuck you you aint trickn me agin you fhacked my other fuckn myspace dumbass fuckn bitchassho679 i know you got that didnt ya?
    * graceyournevergonnafindoutmypassword
    * i would do alaina hauk up the butt
    * ilovegermanyandmybestfriends4082
    * im going to marry a scttish person
    * imaprincessbecausemyfatheristheking
    * me plus food equals more sleep each night
    * michaelpluschrissiistgleichliebe
    * my name is lesley craig and i go to larne grammar school
    * my slide show is better than yours and you kanw it
    * mypasswordhastobemorethanfiveletter
    * password?????????????????????????????????????
    * the1andonlypasswordthatwillneverbeguessed22
    * ¢αη αℓѕσ нανє ℓσηg ¢нαтѕ ωιтн уσυ αвσυт ѕнσєѕ, мαкє υρ αη∂ ¢ℓσтнєѕ! вє¢αυѕє уσυ αяє ιη ℓσνє ωιтн ѕнσρριηg! ι нσρє уσυ ¢σмє вα¢к тσ єηgℓαη∂!

  27. […] Nawet te "łatwiejsze" hasła w znaczny sposób odbierają od tych typowych. Jak wyglądają typowe hasła, można przeczytać na przykład tutaj: Statistics from 10,000 leaked Hotmail passwords oraz tutaj: 32 miliony haseł wyciekło. Jakie najpopularniejsze? […]

  28. […] porównamy te dane ze statystyką dot. wycieku 32 milionów haseł z amerykańskiego serwisu, to wniosku nasuwają się same: niezależnie od kraju królują hasła “klawiaturowe” […]

  29. […] tym, że internauci lubią beznadziejnie proste i łatwe do złamania hasła pisaliśmy już wielokrotnie. Wygląda jednak na to, że w końcu ktoś wpadł na pomysł, jak zmusićzachęcić […]

  30. […] Trzeba też dodać, że najpopularniejsze hasła Polaków co do zasady nie różnią się bardzo od najpopularniejszych haseł na świecie. Jeśli chcesz wiedzieć jak zabezpieczyć swój serwis internetowy przed wyciekiem danych, […]

  31. […] haseł. Chociaż już teraz wiemy, że numerem jeden na bank jest hasło “123456” nie tylko na świecie, ale także w Polsce (co można było ustalić na bazie wycieku z Filmwebu oraz pewnego serwisu […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: