Турецький студент і незалежний дослідник Ата Хакчел виконав величезну роботу, проаналізувавши понад мільярд різних логінів і паролів. Настільки величезний дамп для аналізу він зібрав з відкритих джерел: всі ці дані колись «витекли» в мережу в результаті різних ІБ-інцидентів.
Подібні дампи накопичуються в мережі вже не один десяток років, і їх кількість лише зростає в міру злому нових компаній. Знайти їх зовсім неважко, — добірки облікових даних доступні на GitHub і GitLab, вільно поширюються на хакерських форумах, через файлообмінники тощо. Варто відзначити, що великі компанії давно збирають подібні дампи — аби попереджати своїх користувачів про небезпеку. Наприклад, Google, Microsoft і Apple використовують скомпроментовані логіни і паролі для створення власних систем оповіщення, які інформують людей, коли ті використовують слабкий або вже скомпрометований пароль.
Хакчел пише, що у величезній добірці йому вдалося виявити 168 919 919 унікальних паролів і, як виявилося, понад 7 000 000 з них — пароль «123456» (кожен сто сорок другий пароль).
Також дослідник підрахував, що середня довжина пароля становить 9,48 символів, хоча ІБ-експерти зазвичай рекомендують використовувати більш довгі паролі (від 16 до 24 символів). Складність паролів теж виявилася проблемою, оскільки лише 12% паролів від загального числа містять хоча б один спеціальний символ.
Гірше того, в переважній більшості випадків користувачі обирають максимально прості паролі: використовують тільки букви (29%) або тільки цифри (13%). По суті, це означає, що приблизно 42% всіх паролів уразливі для банальних словникових атак і перебору.
Інші цікаві висновки зі звіту Хакчела:
- Мільярд облікових даних містив тільки 168 919 919 унікальних паролів і 393 386 953 імен користувачів;
- Найпоширеніший пароль — «123456», він зустрічається приблизно в 0,722% випадків;
- 1000 найбільш поширених паролів, це приблизно 6,607% від всіх вивчених паролів;
- Середня довжина пароля становить 9,4822 символу;
- Тільки 12,04% паролів містять спеціальні символи;
- 8,79% паролів містять тільки букви;
- 26,16% паролів містять символи тільки в нижньому регістрі;
- 13,37% паролів містять тільки цифри;
- 34,41% всіх паролів закінчуються цифрами, але тільки 4,522% паролів починаються з цифр.