12:49
26/8/2010

Najpopularniejsze polskie hasła

Jeden z naszych czytelników, jakub300, udostępnił w sieci zestawienie najpopularniejszych haseł wykorzystywanych przez Polaków.

A imię jego 123456

[W tym miejscu znajdował się odnośnik do pliku graficznego, publicznie dostępnego w internecie, który przedstawiał statystykę haseł, jednakże usunęliśmy go na prośbę polskiego serwisu z branży filmowej, który przypuszcza, że analiza haseł powstała w oparciu o “wykradzione im dane”]. Żeby było jasne, redakcja Niebezpiecznika nie pochwala, nie zachęca, a wręcz przestrzega przed łamaniem hashy z haseł, które nie są własnością łamiącego.

Na podstawie różnych źródeł, własnych obserwacji i wywiadu z użytkownikami, można domniemywać, że Polacy najczęściej stosują:

  • popularne “mnemotechniczne kombinacje klawiszowe” (123456, qwerty, qaz12wsx)
  • imiona (kasia, agnieszka, kasia1)
  • wulgaryzmy (dupa)
  • hasła związane z tematyką przewodnią serwisu (jeśli to serwis o kotkach, to kotek, jeśli serwis o filmach, to film)

Zadziwiająco popularne wśród Polaków hasła to również “matrix” i “polska“… Aż tylu mamy patriotów i miłośników Keanu Riversa? Oto szersza lista, stworzona przez serwis bothunters.pl przy okazji ostatniego wycieku 10 tys. haseł polskich internautów:

90 — 123456
29 — polska
28 — matrix
26 — qwerty
22 — zaq12wsx
22 — monika
22 — 12345
20 — marcin
19 — misiek
18 — master

Polacy na tle Zachodu

Jeśli porównamy te dane ze statystyką dot. wycieku 32 milionów haseł z amerykańskiego serwisu, to wniosku nasuwają się same: niezależnie od kraju królują hasła “klawiaturowe” i imienne. Wstydzilibyście się ;)


Przeczytaj także:

54 komentarzy

Dodaj komentarz
  1. gwoli ścisłości,
    md5(trustno1) = 5fcfd41e547a12215b173ff47fdd3739
    md5(karolina) = 605fcc505ec12363ed7d9df00ea3d6c2

  2. a moje haslo jest od 10 lat bardzo skomplikowane ;)

  3. Hasło haslo nie mogło tego zabraknąć, brakuje tylko hasła ****** xD

  4. Widać, że ludzie nie dbają o swoje bezpieczeństwo, chociaż tyle jest opcji, że i tak ciężko jest się domyśleć, które będzie poprawne.

  5. No co?! Taki kiciuś co ma hasło x spełnia prawdopodobnie chociaż jedną twardą zasadę bezpieczeństwa – inne hasło w każdym serwisie! :D Pozostałych raczej nie bardzo :D

  6. Ech, czasy radosnego dupa.8 dawno minęły..

  7. W tym zestawieniu mogłaby być podana procentowa ilość haseł w stosunku do wszystkich haseł, bo z tego obrazka nie wynika, czy hasło 123456 stanowi np 3% wszystkich haseł czy np. 0,01% co zasadniczo zmienia postać rzeczy.

  8. Martwiący jest jeszcze fakt ile takich przykładowo sieci wireless ma owszem jakieś hasło nałożone (mniej lub bardziej skomplikowane) ale sam router, wciąż jest na defaultowych ustawieniach i takie przykładowo admin/admin czy admin/password pozwalają każdemu na praktycznie wszystko.

    Jakiś tydzień temu u dziewczyny ustawiłem hasło na WiFi w domu (ma neta radiowego od lokalnej firmy, która w domu Jej dostarczyła router – mówiłem Jej, że jak nie znam hasła na router to nic nie zrobie). Mało tego, że sieć była goła to router też wszystko na default.

  9. A poza listą również hasła takie jak: kochamcietu_imie_partnera ;-)

  10. Czyli jakieś 7 200 kont. Mimo wszystko jak dla mnie jest sporo unikalnych hashy w tym popularnym serwisie.

  11. Jakby na to wszystko nie patrzeć to nie powinno nigdy dojść do takiego procederu jak wyciek haseł (nawet zahashowanych), użytkownikom nie ma się co dziwić że mają mało złożone hasła w końcu nie są oni specjalistami od ich tworzenia – poprostu rejestrują się w jakimś serwisie i używają. To ta 2 strona powinna zadbać żeby wszystko było ok – no bo w końcu to oni mają być “tymi specjalistami” ;-)

  12. kenumir Mylisz się bardzo. Obie strony mają obowiązek dbać o bezpieczeństwo. Jak kupujesz dom w stanie developerskim to instalujesz zamki czy po prostu wnosisz meble i jak cię opierdolą to masz pretensje do developera?

  13. Ja przypuszczam, że Jakub skupił się na najczęściej występujących hash-ach

  14. @Piotr pytał o statystyki. Brutalnie, “słownikowo” (tylko polskie wyrazy) udało mi się znaleźć 9612 unikatowych haseł. Wszystkich email w próbce było 109446.
    Poziom bardzo różny. Od “jednoliterówek” – “v”, “z” , po zaskakujące “yggdrasill”.

  15. @kenumir – nie powinno być też wojen, głodu i katastrof lotniczych…

    Hasło to hasło, nie powinno być proste. Rejestrując się w jakimś serwisie zwykle masz podane podpowiedzi, jak takie hasło powinno wyglądać. Problem w tym, że 90% użytkowników w nosie ma ‘bezpieczeństwo’ takiego hasła. Jeśli admin na dokładkę wymaga, aby hasło miało duże litery i (nie daj Boże…) cyfry (o znakach specjalnych nie wspominam :P) to ‘luserów’ to zniechęca…

    Jest jeszcze jeden problem: nawet jeśli taki użyszkodnik wymyśli sobie ‘silne’ hasło, np. Marian1970 (no co, spełnia wymogi ? spełnia…) to potem używa go w KAŻDYM serwisie uważając, że jest bezpieczny. Nawet przez myśl mu nie przejdzie, że hasło ktoś mu może ‘podprowadzić’ albo zwinąć całą bazę danych z serwera.

    Jeszcze parę słów odnośnie tych najpopularniejszych haseł: sam takich używam :P Serio – x nie jest serwisem, na bezpieczeństwie do którego mi zależy. Tak samo jest z wieloma forami internetowymi, gdzie stosuję słabe hasła. dlaczego ? Z tego samego powodu, co wspomniałem. Żeby przeczytać co ludzie piszą, żeby mieć dostęp do linków tam umieszczonych – do wszystkiego niemal wymagana jest rejestracja na forum. A jak czegoś szukam, to kilka takich for zwykle odwiedzam…

  16. Też od razu zastanowiło mnie hasło pt5577z. Nawet chciałem sprawdzić w Google co to za pomysł, ale tylko Niebezpiecznik wyskakuje;).

    Ja również stawiałbym na spambota, ale dlaczego miałby ustawiać takie dziwne hasło?

  17. @kenumir: Nie chodzi tu tylko o skomplikowane hasło, żeby nie dało się go odhaszować. Bo to nie jest celem. Celem jest zalogowanie się na konto, do którego nie zna się hasła. A wiedząc, że ileśtam procent haseł to “x”, 5-cioliterowe przypadkowe klawisze, to już mocno ułatwia sprawę.
    Poza tym takie podejście “nie powinno dojść do wycieku” jest równie sensowne jak chodzenie po jakiejś zapuszczonej okolicy z kasą na wierzchu, bo “nikt mnie nie powinien okraść”.

  18. Jakiego programu jakub300 użył aby przekonwertować plik bazy danych na plik z samymi hashami md5?

  19. @kenumir – Dziwnie rozumujesz. Jak może nastąpić wyciek danych to od razu mam używać banalnych haseł? Przecież te hasła są na takim poziomie, że jakby jakiś dowcipniś od niechcenia chciał mi się włamać, to po dwóch minutach by mu się udało. Pora włączyć myślenie.

  20. @kaz1007
    Polecam poczytać o plikach csv :) I wszystko stanie się jasne. Podpowiedź: możesz importować excelu :)

    Co do bazy to samych duplikatów hashy jest 82,5 tys. Szkoda, że w domu nie jestem bo fajnie w celu edukacyjnym można by przejrzeć bazę. Podejrzewam, że 1/3 haseł jest krótka i mój radek(od ati) sobie poradzi, reszta i tu jestem ciekawy jak sobie słowniki+jakieś kombinacje poradzą. Ogólnie jestem ciekaw jak to wygląda w całości ;p

    BTW. to jest rip CSV 1/2 czyli, że druga część też jest tylko nie wyciekła do szerszej publiczności?

  21. A mnie się tu refleksja nasunęła na temat solenia haseł. Gdybym wszedł w posiadanie takiej bazy z hashami, sprawdziłbym jaki hash występuje najczęściej, a potem próbowałbym bruteforcem znaleźć sól, na zasadzie xxx123456, gdzie w miejsce xxx wstawiałbym wszystkie możliwe kombinacje, tak żeby otrzymać najczęściej występujący hash.

    Prawdopodobieństwo poznania “soli” dość wysokie ;)

    • @Pawel, dlatego też dobra sól jest unikalna dla każdej kombinacji username i password.

  22. Heh.Nie potrzebnie pytałem.Rzadko używam programów typu office ale przed chwilą spojrzałem że jest opcja usunięcia całej kolumny.Szkoda tylko że open office calc nie otwiera większych plików.

  23. @Shagg
    Zdaje mi się że, w większości ruterów(chyba większość domyślnie nie zezwala na połączenia spoza sieci) aby coś zmienić najpierw trzeba by wejść do sieci.

  24. [Offtopic mode on]
    Tak sobie siedzę i piję piwko, czytam Was jak zwykle z przyjemnością i dochodzę do wniosku, że jesteście takim (przepraszam za wyrażenie) – “popkulturalnym” serwisem o (nie)bezpieczeństwie technologicznym (szeroko pojętym) , którego czyta się właśnie bardzo przyjemnie. Ameryki zapewne nie odkryłem, niemniej jednak chciałem się tym z Wami podzielić. Dziękuję za uwagę i pozdrawiam.
    [Offtopic mode off]

  25. Hmm… jest jakieś 100% skuteczne rozwiązanie technologiczne uniemożliwiające odkodowanie hasha?

    Prefix czy sufix aka sól można odkodować – w pewnych sytuacjach – wybierając najczęstszy duplikat w odp. dużej bazie i następnie próbować bruteforce na sólHASło/sól_hasło/hasło_sól itd
    Solenie, również nie zda rezultatu, gdy włamywacz przejmie kontrolę nad plikami i… odczyta sól. ;P

    Od strony użytkownika, pewnym rozwiązaniem są banki haseł – np. keepass, lastpass – które umożliwiają uruchomienie usługi poprzez autoryzację jednorazowym hasłem/siatką danych do odczytania oraz generowanie i zapamiętywanie bezpiecznych -losowych- haseł.
    Niestety… skoro bank może przechowywać zaszyfrowane dane i być w stanie je odczytać to i złodziej może…

    Chyba jednak wciąż najlepszym sposobem jest używanie skomplikowanych, długich, niesłownikowych haseł typu y5qIt9T0e64BQu50y@xRl@7jOqvYIJ&7tS!i3t1hm$HnPEumw&JLDyqRiAJwOo29B&kQai2jsyyXnbj!lefC&3AXuoshhUcrKUBl :P
    Tylko co z pamięcią?;)
    A może znacie jakieś _bezpieczne_ programy/urządzenia(np. yubico z lastpass) do administracji hasłami?

  26. “A ja mam takie samo hasło przez 10 lat i jeszcze nikt mnie nie shackował” :D

  27. “Shagg 2010.08.26 13:03 | #

    Martwiący jest jeszcze fakt ile takich przykładowo sieci wireless ma owszem jakieś hasło nałożone (mniej lub bardziej skomplikowane) ale sam router, wciąż jest na defaultowych ustawieniach i takie przykładowo admin/admin czy admin/password pozwalają każdemu na praktycznie wszystko.”

    przeciez jak nie podlaczysz sie do sieci wi-fi to nie mozesz sie polaczyc ze strona zarzadzania routera, bo jak wpiszesz nawet ip routera to skad wiadomo do ktorego routera sie odwolujesz jak masz kilka sieci.

  28. Nie bardzo rozumiem zarzuty odnośnie solenia i poznawania soli. Z implementacji, którą widziałem wygląda to tak, że rekord w bazie ma 3 kluczowe dane: sól, login, hash, przy czym hash jest generowany na zasadzie np. md5sum(“sól”.”hasło”) (oryginalnie było sha, ale…). I każdy rekord ma inną, pseudolosową sól (znacznie dłuższą, niż 4 znaki, raczej rzędu kolejnej md5sum, nawet z daty założenia konta w serwisie się sprawdzi). IMO drastycznie wydłuży to czas łamania i sprawi, że wszelkie gotowce typu rainbow tables można OKDR (fix me if I’m wrong).

    Zresztą, jak się komuś nudzi/chciałby obalić ww. tezę to do połamania hash 1476c8356a9fe9a4dd604bcf8b24885a – utworzone właśnie metodą sól czyli md5 z czegoś (sól=7b95371de9ac4f2e49bd1051df5afb6a) złączone z hasłem właściwym, z tego liczone md5. Jako rozwiązanie należy podać hasło właściwe. Wszystko prościutkie i w zasięgu wzroku czytelnika. ;-)
    Dla pewności, że to samo hasło – 2708a6037a46df408ced76695070f802114f7986c19545a8e0befc2ecf0d5d407d4922dac6068996426d486492a68cce42d63f2c07f5f52e31a449b2419a5d81 – sha512 z tego samego złączenia soli i hasła.

    “Redakcja Niebezpiecznika nie pochwala, nie zachęca, a wręcz przestrzega przed łamaniem hashy z haseł, które nie należą do nas.”
    Czemu przestrzega? Czym to się różni od generowania potencjalnych haseł z np. słownika systemowego na podstawie różnych przekształceń?

  29. @rozie
    jeśli w bazie masz zapisane te 3 pola i “każdy ma inną pseudolosową sól” to jaki problem jest w tym aby ją…po prostu odczytać z bazy? No chyba, że założymy iż włamywacz ma kopiuje jedynie pole login, hasło i email. ;P
    Poza tym jeśli włamywacz uzyska dostęp do plików oraz bazy to pozna mechanizm solenia stosowany w danym serwisie co znacznie ułatwi rozkodowywanie haseł.

    @rozie
    Różnica jest diametralna i polega na źródle tych danych. Dupa.8 skradziona komuś nie równa jest dupie.8 ze słownika systemowego. ;) Oczywiście w kwestii technicznej różnicy dla odbiorcy końcowego, nie ma.
    Analogicznie – z życia wzięte – co innego jak ktoś Ci poda swój pesel żebyś coś dla niego załatwił, a co innego jeśli wyciągniesz mu dowód z portfela, gdy będzie spał.

  30. Każde z haseł z “topki” można odkodować bez pracy własnej – gógiel indeksuje też różnego rodzaju tęczowe tablice itp. Czy googlanie hasha też jest czymś, przed czym Mr. Niebezpieczny przestrzega? :)

  31. @X: Podałem przykładową sól, mechanizm solenia i hash posolonego hasła. Dokładnie tyle, ile ma w najlepszym wypadku włamywacz. Nadal uważam, że poznanie hasła nie jest trywialne.

    Co do “czemu przestrzega” – chodziło mi o podstawę prawną, czemu szukanie kolizji jest złe. Bo sam fakt znania czyjegoś hasła (PINu, PESELu) nie jest niczym złym ani specjalnie dziwnym. Zresztą, co mi tam… Twój PIN jest tu: http://www.positiveatheism.org/crt/pin.htm
    MSPANC

  32. Mnie srodze gnębi jedno pytanie… Czy ktoś użył jako hasła magicznego słowa abrakadabra. Dla ułatwienia md5:

    bda3bfdfa868d04f4003838f5776f25e

    oraz sha1:

    79fb86e161e6bee2f14740099c4bee8247926999

    Jak ktoś ma tą bazę i mu się nudzi, to chętnie poznam odpowiedź ;)

  33. @patryk
    Zgadza się… ale jak router jest na defaultowych ustawieniach zostawiony to sieć jest niezabezpieczona i każdy może się połączyć = każdy może wejść na router znając defaultowe hasło do panelu admina.

    Mówię… sieć została zostawiona goła (niezabezpieczona), SSID na wierzchu i login/pass do panelu routera też defaultowy.

  34. Solenie itp manewry nie załatwiają przyczyny problemu – konieczność rejestracji niemal wszędzie żeby cokolwiek móc odczytać/skomentować. Webmasterzy przez spamerów zmienili www w piekło. Sam mam konta w nie wiem już nawet ilu serwisach, a w każdym ma być najlepiej inne hasło i często inny login bo np mój zwyczajowy był już zajęty. Tak się po prostu nie da zapamiętać. Na dokładkę dochodzi fakt że wielu zwykłych luserów uważa że “im nie zależy na tym czy ktoś pozna jego hasło” i mamy to co mamy.

    Autentyfikacja metodą login/hasło musi odejść do lamusa. Tylko nie bardzo mam pomysł czym by ją zastąpić. OpenID to krok w dobrym kierunku i gdyby wymusić w każdym serwisie logowanie przez openid to trochę by ułatwiło sprawę (i przy okazji załatwiło problem zajętych loginów, bo providerów openid jest dużo i w każdej chwili można zrobić nowego). Może coś w rodzaju przypisanego do osoby klucza szyfrującego (PGP/whatever) noszonego na pendraku, a gdzieś w sieci globalne repo kluczy publicznych – efekt byłby mniej więcej jak z noszeniem kluczy do swojego domu. Lipa jak się zgubi (chociaż gdyby do tego klucza było dodatkowo jakieś hasło to by pomagało w takiej sytuacji), ale też z tego względu każdy bardzo dba o to żeby się nie zgubił.

  35. @OkropNick
    19-stu użytkowników miało hasło abrakadabra :)

  36. @Kasper93: Haha, dobre! :)

  37. Czyli testując tylko 10 haseł można uzyskać dostęp do ok. 3% kont? A można jeszcze prosić o info, ile było haseł, których używało 10 i więcej userów, oraz jaka była suma użytkowników, którzy używali haseł wspólnych dla 10 i więcej userów?

  38. Proponuję Niebezpiecznikowi napisać artykuł hashach, ich łamaniu itd. Smutne jest ciągłe czytanie po co solić i w jaki sposób. Do tego krótkie wytłumaczenie czym są tęczowe tablice i jak działają (@ktos_wyzej: google nie może ich zaindeksować…).

  39. No jak trzeba zapamiętać kilkadziesiąt haseł wielobitowych a do tego mają być przypadkową plątaniną znaków to nie jest to przyjemne. Może coś z printfingerem + n.p. Crypt4Free. Data urodzin, sympatie, może by rozkodować czyjeś sekrety należy poznać dokładnie jego życie.

  40. 1. yggdrasill i zaskakujące? bez żartów :) no chyba, że ja nie załapałem “dżołka”.
    2. ostatnio “wydobyłem” z pewnego kontrolera domeny 99% haseł (ah ten wiecznie żywy LM). Haseł 2-literowych było chyba 140. I można by mieć pretensje do użytkowników, że nie dbają o bezpieczeństwo, ale hasło HY(>.X1238*&@sa jest przy złej konfiguracji AD równie bezbronne względem cracker’a, co hasło jn (wybrane przez Jana Nowaka), czy hasło kicia. Różnica 10 sekund, czy 1 dzień jest moim zdaniem pomijalna. A co gorsze – osoba używająca HY(>.X1238*&@sa będzie przekonana, że może używać go też w 10ciu innych miejscach (w końcu jest za*ebiście bezpieczne).
    3. A tak btw – od ilu sklepów internetowych dostaliście maila “…dziękujemy za rejestrację w naszym sklepie. Przypominamy, że Twój login to: xxx@xxx.com, a Twoje hasło to: XYZ”. ? :))

  41. @joker właśnie o to chodzi żeby unikać używania informacji osobistych w elementach haseł ;-). W dobie serwisów społecznościowych gdzie ludzie z wielką radością pozostawiają wszystkie swoje dane, sekrety, marzenia, życzenia, itp itd na serio nie jest ciężko wydobyć takie info.

    @djstrong nie wydaje mi się żeby było aż tyle materiału żeby można było z takiego tematu cały art napisać. O hashach można poczytać na Wikipedii → http://ur1.ca/1ddwe , a w kwestii “łamania” to hashy się nie łamie (bo funkcje hashujące działają w 1 stronę i są jak stratna kompresja, więc nie da się z hasha odzyskać oryginalnego tekstu ;-) ), hashe się tworzy na nowo. Piszesz sobie skrypt, który generuje Ci dany listę hashy ze wszystkich możliwych kombinacji znaków które Cię interesują (to jest właśnie tzw tablica tęczowa) i potem sprawdzasz do czego dany hash pasuje. O stosowaniu soli wyczytasz wystarczająco info z samych komentarzy pod tym tekstem, więc ot i praktycznie cały temat wyczerpany ;-).

    @Matja yggdrasil może być zaskakujące, bo przecież w końcu ilu zwykłych userów interesuje się mitologią?

  42. Cóż, brute-force odchodzi powoli w niepamięć. 10k haseł które wyciekły ostatnio, plus 9k haseł z Filmwebu, plus słownik języka polskiego, wymieszać, przyprawić do smaku – i połowa sieci WPA stoi otworem :-)

    grep -c dupa wordlist.txt
    439

  43. @zmechu, ja bym powiedział posolić :-)

  44. Specjalnie nie użyłem tego słowa, bo ostatnio słyszeliśmy o nim aż nadto. Subiektywnie patrząc solenie to ostatnio remedium na wszelkie problemy. Zobaczycie, nawet jak zima zaskoczy drogowców, to będą nawet jezdnie solić ;-) Nawet hity filmowe (aka “Salt”) już wymyślili.

  45. […] Jak widać, duża zbieżność z najpopularniejszymi hasłami użytkowników Twittera oraz użytkowników Filmwebu, którzy według różnych analiz filmwebowej bazy danych pojawiających się w sieci również gustowali w hasłach typu 123456, qwerty, imionach oraz odniesień do serwisu typu filmweb, film (tutaj: tuscl, strip, stripclub, stripper, lapdance, pussy, 696969). Potwierdza się więc reguła, że duży procent użytkowników danego serwisu ma banalnie proste hasła — por. Popularne Polskie Hasła. […]

  46. Widać, że sporo fanów strip-klubów jest z PL, bo sporo nowych haseł przybyło :-D
    grep -c dupa wordlist.txt
    563

  47. […] tym, że internauci lubią beznadziejnie proste i łatwe do złamania hasła pisaliśmy już wielokrotnie. Wygląda jednak na to, że w końcu ktoś wpadł na pomysł, jak […]

  48. […] porównać je z najpopularniejszymi hasłami Polaków — widać pewne podobieństwo. Przodują łatwe do zapamiętania (mnemotechnika) wzory na […]

  49. haha, ‘matrix’ to bylo moje pierwsze haslo w tym serwisie i wiazalo sie z jednym z pierwszych filmow, ktore tam ocenilem. nie przypuszczalbym, ze moglo byc takie popularne. oczywiscie po ‘aferze’ juz kilka razy je zmienilem ;)

  50. […] statystyka potwierdza wyliczenia poczynione jakiś czas temu w oparciu o wyciekniętą bazę z innego polskiego serwisu. Trzeba też dodać, że najpopularniejsze hasła Polaków co do zasady nie różnią się bardzo […]

  51. […] Powyższą, dość niechlujnie przygotowaną statystykę, warto zestawić z najpopularniejszymi polskimi hasłami. […]

  52. a ja tam od zawsze mam hasło “dupa”

  53. […] hasło “123456” nie tylko na świecie, ale także w Polsce (co można było ustalić na bazie wycieku z Filmwebu oraz pewnego serwisu […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: