20:46
9/1/2012

Jakie jest najpopularniejsze hasło w Polsce?

Dwa tygodnie temu opisywaliśmy atak na jeden z serwerów należący do Gazety Wyborczej. Atakujący podmienił wtedy zawartość strony internetowej i udostępnił bazę danych z pewnego serwisu randkowego. Jeden z naszych czytelników dokonał analizy haseł znajdujących się w tej bazie — daje ona ciekawy obraz haseł, z jakich korzystają Polacy.

Analiza haseł z forum pewnego serwisu randkowego

Jak pisze nasz czytelnik, Crazy Man:

Korzystając z tego, że na screenie na tophacku był link do bazy, pozwoliłem sobie wykonać szybką analizę bezpieczeństwa haseł stosowanych przez userów. Przyznać należy, że grupa miłośników pornografii nie jest zbyt reprezentatywna, tak samo zaskoczeniem nie jest wynik eksperymentu, czyli hasła.

katalog-gazeta-pl-hacked

Deface serwisu katalog.gazeta.pl - atakujący podlinkowali baze z haslami z forum serwisu randkowego

$ wc -l dump.sql
32783 dump.sql

## 32783 linijek = tyle samo haszy MD5. Spójrzmy czy coś się powtarza...

$ cut dump.sql -d: -f3 | tr -d ' ' | sort -n | uniq -c | sort -nr | head -n40 | tr -s ' '
388 e10adc3949ba59abbe56e057f20f883e
197 d8578edf8458ce06fbc5bb76a58c5ca4
141 827ccb0eea8a706c4c34a16891f84e7b
98 1dc5ab404fa22f451d5d28e83b063a8d
77 e6a52c828d56b46129fbf85c4cd164b3
66 250cf8b51c773f3f8dc8b4be867a9a02
55 96e79218965eb72c92a549dd5a330112
54 9743a66f914cc249efca164485a19c5c
46 0b4e7a0e5fe84ad35fb5f95b9ceeac79
...itd

## jak widać najpopularniejszego hasła używa aż 388 użytkowników, co stanowi 1,18% bazy - całkiem sporo. Ciekawe co to za hasło :))

$ IFS=`echo -e "\n\b"`; for x in `cut dump.sql -d: -f3 | tr -d ' ' | sort -n | uniq -c | sort -nr | head -n40 | tr -s ' ' `;
> do echo -n $x | cut -d' ' -f2 | tr -d '\n';
> echo -e "\t" $(~/bash/md5_dec.sh `echo $x | cut -d' ' -f 3`);
> done
388 123456
197 qwerty
141 12345
98 polska
77 zaq12wsx
66 456
55 111111
54 dupa
46 aaaaaa
43 podrywacze
36 123123
36 legia
35 qwerty1
34 marcin
34 1234
33 qazwsx
33 mateusz
33 123qwe
32 maciek
32 michal
31 widzew
31 matrix
31 haslo
30 master
30 misiek
29 polska1
29 zxcvbnm
27 samsung
27 damian
26 123456789
25 piotrek
25 marcin1
25 monika
24 lukasz
24 qwe123
23 abc123
23 qwert
23 haslo1
22 zaqwsx
22 kurwa

Pomijając oczywistości (mnemotechniczne komibinacje klawiszy typu 123456 i qwerty oraz zaq12wsx) na uwagę zasługuje wysoka pozycja słowa polska (i polska1) oraz terminologii kojarzącej się z nazwą serwisu (podrywacze).

Można także dojść do wniosku, że częściej podrywają (przynajmniej w internecie) kibice Legii niż Widzewa. Z kolei najpopularniejszym filmem dalej pozostaje matrix, a marką monitora samsung, natomiast jednym z popularniejszych polskich imion męskich jest marcin, a kobiecych monika. Przekleństwa klasycznie: dupa na wysokim miejscu.

Powyższa statystyka potwierdza wyliczenia poczynione jakiś czas temu w oparciu o wyciekniętą bazę z innego polskiego serwisu. Trzeba też dodać, że najpopularniejsze hasła Polaków co do zasady nie różnią się bardzo od najpopularniejszych haseł na świecie.

Jeśli chcesz wiedzieć jak zabezpieczyć swój serwis internetowy przed wyciekiem danych, zapraszamy na nasze szkolenie – pozostało jeszcze kilka wolnych miejsc.

Jeśli ktoś z Was gdziekolwiek korzysta z jakiegokolwiek hasła zacytowanego w tym artykule, niech dmucha na zimne i szybko je zmieni. Ale nie poprzez dopisanie na jego końcu wykrzyknika lub jedynki, ok? ;)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

67 komentarzy

Dodaj komentarz
  1. Po przeczytaniu tytułu liczyłem na “dupa.8”, ale jednak nie trafiłem ;)

    • Dokładnie też mi się wydawało że to będzie dupa.8, widać nie wszyscy są “skażeni” :)

    • bo dupa.8 to najpopularniejsze hasło “administratorów” i ludzi powiązanych bliżej z branżą IT a nie zwykłych użytkowników ;)

    • Hasło “dupa.8” to bardziej anegdota, wewnętrzny żart. Newbie tego nie znają, a ludzie z branży wiedzą, że to byłaby głupota ustawiać takie hasło. Może ktoś raz na jakiś czas da takie hasło, ale pewnie nic w tym popularnego.

    • I właśnie przez tą anegdotę zdziwiłbyś się jak często można je spotkać gdzieś “wewnętrznie” :)

    • Pół supportu Gadu-Gadu ma te hasło :)

    • to hasło*

  2. Pozycja 22 mnie jakoś nie dziwi :D

  3. “Analiza haseł z forum pewnego serwisu randowego”
    Literówka ;) randkowego

    • Choć dużo tych literówek w artykułach to zauważmy że doskonały programista robi więcej błędów w pisowni niż w programowaniu :P

    • A może chodziło o jakiś losowy serwis? :))

  4. scyzoryk sie otwiera .. jaki lamerski serwis dopuszcza haslo na 4 litery (slownie cztery litery), powinno byc zabronione prawem, z kara grzywny na wosp i odebraniem dostepu do fejsa od 1 roku do lat 8, bez mozlwosci ubiegania sie o przedterminowe skrocenie kary .. ufff :)

    • nawet na 3

    • Jeżeli ktoś chce ryzykować to czemu ma nie mieć prawa?
      Chodzi tylko o to, żeby nie mógł jakichkolwiek reklamacji zgłaszać jak ma beznadziejne hasło.

    • A wiesz jak działała ubezpieczenie, np. OC?
      Też ludzie pewnie woleliby ryzykować, mimo to jeździć bez ubezpieczenia nie wolno.

    • oj tam, netiaonline dopuszcza tylko czteroznakowy numerkowy ‘pin’, gdzie konta to tez same cyfry.

      to powinno byc scigane prawem.

    • @zzz1986@o2.pl wlasnie @chytryzyd odpowiedzial czesciowo na Twoje watpliwosci, bo wlasnie takie prawo takze i po to by wybic z glowy wszelkie takie pomysly i przyzwyczajenia. Choc to byl zart, ale jakby sie tak glebiej zastanowic ;)

    • @niepamietam
      Nie będę pisał dokładnie co myślę o OC, ale skoro uważasz za dobry pomysł, to, żeby wszyscy składali się na tego co zrobi wypadek, bo od niego może nie uda się wyciągnąć pieniędzy, to czemu nie pójść o krok dalej i nie wprowadzić przymusu ubezpieczenia OK(od odpowiedzialności karnej), wtedy zamiast 25lat/dożywocia dla mordercy, każdy ubezpieczony odsiedziałby 10 minut.

      @smartas
      Co Ci czyjeś głupie przyzwyczajenia by szkodziły gdyby to on ponosił za siebie odpowiedzialność?

    • @zzz1986@o2.pl, bardzo dobry argument. A wszyscy moi znajomi uważają, że płacenie AC jest ok. O OC nawet z nimi nie rozmawiam. Chociaż, ostatnio przywaliło w nas auto które jechało na czerwonym. Typ prawie nas zabił, i wystarczyły 2 telefony do ubezpieczyciela i typ już miał nowe auto i jechał dalej. No i niektórzy ruszyli swoimi mózgownicami i poddali w wątpliwość zasadność udzielania ubezpieczeń AC.

  5. @up
    Każdy informatyk bardziej woli losować niż chodzić na randki stąd ta pomyłka ;)

  6. Wystarczy rodzeństwo w podstawówce/gimnazjum i masz szybko jak na tacy wspaniałe hasła typu “p!3rd0liSh góWn0J4dZi3!!!!” ;D

  7. To mi przypomina ten komiks:
    http://xkcd.com/936/

    :D

  8. Oj tam, oj tam, na tak prymitywny portal nie potrzeba haseł wyrafinowanych, a jedynie takie, które szybko się wpisuje. :P

  9. Dałbym sobie rękę uciąć, że dupa będzie wyżej. Ciekawe, jak mocno opadł… hmhmhmm – teraz bym bez ręki ganiał…

  10. To ja już wolę “bezpiecznie” zapisać swoje hasło (“spie*****j_stąd”) w pliku tekstowym. Mina szperacza bezcenna :)

  11. dalej było jeszcze lepiej. cała masa numerów telefonów, daty urodzin albo kwiatki w stylu magik1 pewnego studenta.

  12. Jak miło, że moje ulubione hasło znalazło się na zaszczytnym 14. miejscu :)

  13. Hasła z plain-textu pewnie z bazy allegro?

    • Te hashe, to Ci nawet Google “złamie” :P

    • To nie są hasła w plaintexcie tylko md5. Zostały zdekodowane.

    • To nie są hasła z plain-textu, polecam przeczytać artykuł, który komentujesz(?)

  14. Mnie tak samo martwi fakt, że ludzie korzystając z takich serwisów udostępniają swoje dane osobowe. Nawet urzędnicy państwowi. Brak wyobraźni i pewnie elementarnej wiedzy na temat funkcjonowania Internetu i obrotu danymi w nim.

    • Taki trochę offtop.
      Powód takich sytuacji jest prozaiczny (akurat wiem to z autopsji przy okazji obsługi pewnej instytucji).
      Informatykami, a raczej pseudoinformatykami są osoby z kręgu rodzinnego nie mający nawet podstawowej wiedzy z tej dziedziny. Wie tyle co na zajęciach w podstawówce się nauczył. Nepotyzm w naszym kraju przekracza wszelkie granice i takie sytuacje, nie tylko w branży IT, są i będą codziennością. Chore Państwo!

  15. W pierwszej 20-tce widzę monopol haseł-imion na literę M.

  16. Przypomniała mi się sytuacja która miała miejsce daaawno temu, kiedy to niosłem swój pierwszy PC do serwisu, dopiero po oddaniu przypomniałem sobie że nie podałem facetowi hasła. 5min i jestem z powrotem, facet mówi że za pierwszym razem odgadł… pozycja 8 :D Chyba miałem to wypisane na twarzy ;)

    Teraz moje hasełka wyglądają “ciut” inaczej :)

    • Ale do BIOS-u są jeszcze hasła serwisowe :)

    • …które w większości nie działają – wiem z doświadczenia, próbowałem różnych serwisowych haseł do biosa Awardu i nic z tego. Najpewniejszy sposób to bateryjka albo zworka.

  17. …taka analiza “wyciekniętej” bazy będzie o kant d… potłuc jeśli w bazie są trzymane hashe hashy albo używany jest prosty mechanizm salt… – wtedy nawet duplikatów nie znajdziemy. I tutaj kolejna lekcja dla piszących aplikacje webowe ! :)

    • Oj nie… Czy Twoja metoda jest lepsza od tego, co było w bazie – tak. Czy dużo lepsza. Nie.

    • Troszku matematyki i w bardzo prosty sposób można udowodnić, że trzymanie podwójnie hashowanego hasła (hash z hashu) powoduje tylko wzrost podatności, ponieważ prawdopodbieństwo wystąpienia kolizji wzrasta.

    • @masiakla: Ale kolizja (ryzyko jej wystąpienia) nie ma tutaj żadnego znaczenia. Atakującego nie interesują kolidujące ciągi, a ORYGINALNE hasło. Co mu po kolizji do dupa.8? Nie uzyje jej do zalogowania się na konto Allegro danego użytkownika.

    • sorry ale na co komu takie fruita kiedy user ma haslo na 4 litery? wolne zarty :)

  18. Ważne, żeby hasło wpisywało się szybko – jedną ręką.

    Preferably lewą – zaq12wsx, 123456 itp.

    • “Ważne, żeby hasło wpisywało się szybko – jedną ręką.”

      – dobry tekst :D

    • znam lepsze! \][poiuytrewq jak potrzeba cyfr to linie klawiszy wyzej =-0987654321` albo obie i jest super skomplikowane haslo a ktore kazdy moze spamietac! :-D

  19. Ostatnie hasło mnie zniszczyło :)

  20. Chciałem potwierdzić analizę niebezpiecznika oto wynik:
    http://linc6.wordpress.com/2012/01/11/15-najpopularniejszych-hasel-w-polsce/

  21. Na podstawie starej bazy filmwebu też można ładną statystykę stworzyć. Oczywiście na samej górze 123456. Po za tym chyba dużo osób bierze do serca slogany, aby mieć różne hasła na różnych serwisach szkoda tylko, że dużo osób daje hasło dokładnie takie samo jak nazwa portalu :) Mógłbym takie zestawienie zamieścić, ale pamiętam, że już kiedyś było i zostało zdjęte na prośbę filmwebu. BTW. Nie rozumiem dlaczego matrix jest tak często używany, chyba to najpopularniejszy film pośród internautów ;E

  22. Warto zauwazyc ze najpopularniejszym programem sluzacym do edytowania screenow, jest wciaz MS Paint!

  23. Najpopularniejszym hasłem dzisiejszego dnia jest “admin1” :D

  24. […] To trochę przerażające, ile osób, pomimo tak licznych próśb (por. Jakie jest najpopularniejsze hasło w Polsce), ciągle korzysta z tak banalnych haseł… W pewnym sensie, sami są sobie […]

  25. […] Hasło syryjskiego prezydenta, czyli 12345 to jedno z najpopularniejszych haseł na świecie, ale nie w Polsce — my mamy więcej rozumu w głowie! Przypomnijmy, że w Polsce najpopularniejszym hasłem jest 123456…. […]

  26. […] przedstawiamy analizę udostępnionych haseł. Nie różni się ona zbyt wiele od wcześniejszych analiz, które przeprowadziliśmy na innych wykradzionych bazach danych należących…. Znów na pierwszym miejscu mamy hasło 123456 oraz niezrozumiałe dla nas, ale cieszące […]

  27. […] czasu Niebezpiecznik opublikował analizę haseł, które wyciekły z jednego z polskich portali randkowych. W […]

  28. […] Cię o utrudnienie sobie (tak, sobie!) życia – najpopularniejsze w Polsce hasła to – wg analizy opisanej na Niebezpiecznik.pl – „123456”, „qwerty” czy […]

  29. […] Cię o utrudnienie sobie (tak, sobie!) życia – najpopularniejsze w Polsce hasła to – wg analizy opisanej na Niebezpiecznik.pl – „123456”, „qwerty” czy „polska”. Dlaczego tak popularne są proste hasła? Cóż, […]

  30. […] Chociaż w zasadzie, w ciemno możemy powiedzieć, że numerem jeden na bank jest hasło “123456” nie tylko na świecie, ale także w Polsce (co można było ustalić na bazie wycieku z Filmwebu oraz pewnego serwisu randkowego). […]

  31. […] jakie były najpopularniejsze hasła (wśród […]

  32. […] internecie była spreparowana, tj. nie zawierała prawdziwych hashy z hasłami], Filmweb (2010), i serwisy erotyczne […]

  33. […] Miejmy nadzieję, że jest to hasło wyłącznie do jakiegoś wewnętrznego systemu. Chociaż sposób jego tworzenia pozostawia wiele do życzenia — SŁOWO-CYFRA-CYFRA ot jeden z najpopularniejszych schematów tworzenia haseł. […]

  34. […] haseł (qwerty, abc123, cdprojekt123, imienazwisko123) — najpopularniejsze polskie hasła opisaliśmy w tym artykule. […]

  35. […] Problem z hasłami ciągnie się od wieków i zapewne trochę to jeszcze potrwa, zanim użytkownicy będą przywiązywać wystarczającą uwagę do złożoności swoich haseł. Wiele już powiedziano w tym temacie, ale przyzwyczajenia internautów trudno zmienić. Na forum randkowym, z którego wyciekły dane, najpopularniejszym hasłem było (chwila na werble i budowanie napięcia…) 123456. No cóż, ręce opadają. Całość bardzo ciekawego artykułu tutaj. […]

  36. […] PS. Jako ciekawostkę można podać najpopularniejsze hasło wśród użytkowników znajdujących się na liście Yandex. Jest nim — zgadliście — 123456. Podobnie jak w Polsce zresztą. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: