Если говорить о длине и сложности паролей, то большинство пользователей не привыкли себя утруждать. Впрочем, даже если бы почти все использовали пароли максимальной длины и сложности, это не повлияло бы на скорость атаки по словарям, составленным из утечек.
Если вы следите за новостями, то, вероятно, слышали об утечках баз данных с паролями из Yahoo (три раза подряд!), LinkedIn, eBay, Twitter и Dropbox. Эти службы очень популярны; в общей сложности утекли данные десятков миллионов учетных записей.
Вас также может заинтересовать статья «Самые частые пароли Мэйл.ру».
Хакеры проделали гигантскую работу, восстановив из хешей большую часть паролей, а специалист информационной безопасности Марк Бернетт собрал все утечки воедино, проанализировал ситуацию и сделал интереснейшие выводы.
По данным Марка, в том, какие пароли выбирают англоязычные пользователи, прослеживаются четкие закономерности.
Самые частые пароли
- 0,5% в качестве пароля используют слово password;
- 0,4% в качестве пароля используют последовательности password или 123456;
- 0,9% используют password, 123456 или 12345678;
- 1,6% используют пароль из десятки самых распространенных (top-10);
- 4,4% используют пароль из первой сотни (top-100);
- 9,7% используют пароль из top-500;
- 13,2% используют из top-1000;
- 30% используют из top-10000.
Дальше Марк не анализировал, но я предположил его последовательность, воспользовавшись списком из 10 миллионов самых популярных паролей. По моим данным, пароли из этого списка использует всего 33% пользователей, а длительность атаки растет на три порядка.
Что нам дает эта информация? Вооружившись статистикой и словариком из 10 тысяч самых распространенных паролей, можно попробовать расшифровать файлы и документы пользователя даже в тех случаях, когда о самом пользователе ничего не известно (или просто не удалось получить доступ к компьютеру и извлечь его собственные пароли). Такая простейшая атака по списку из всего 10 тысяч паролей помогает заполучить пароль в 30% случаев.
Вас может заинтересовать статья «Распространенные пароли iPhone».