God, Sex, Love and Secret: самые популярные пароли в соцсетях
На модерации
Отложенный
Пользователи не любят напрягаться и многие разработчики смирились с этим. Вспомните последние 10 сайтов на которых Вы регистрировались, многие ли из них проверяли Ваш пароль на сложность? А ведь какие бы меры безопасности не придумывали создатели системы, они могут быть бессмысленны, если пользователь сам облегчит злоумышленнику работу.
В этой статье приведён результат анализа ~100 000 паролей. Надеюсь этот анализ будет интересен и пригодится многим хабралюдям.
Маленькое отступление
Нет, мы не храним пароли в открытом виде, статистика получена в ходе эксперимента на одной из социальных сетей, путём анонимного сбора данных и увы, я не смогу выложить полученный словарь и назвать эту сеть.
Что делалось
Все пароли проверены по критериям наличия цифр, специальных символов, регистра а также устойчивости посредством методов cracklib.
Данные
Распределение по длине
Самый короткий пароль — 1 символ, самый длинный — 63 символа.
![\"\"](\"http://chart.apis.google.com/chart?cht=bhs&chs=200x325&chd=s:AAAFE9emJKECBBA&chbh=15&chf=bg,s,FFF2CC&chxt=x,y&chxl=0:%7C%7C18650%7C37300%7C1:%7C15%7C14%7C13%7C12%7C11%7C10%7C9%7C8%7C7%7C6%7C5%7C4%7C3%7C2%7C1\")
Свыше 15 символов совсем несущественные значения.
Сложные и простые пароли
По результатам прогона cracklib — легко взламываемыми оказались 35.5% паролей
![\"\"](\"http://chart.apis.google.com/chart?cht=p3&chd=t:35.926,65.151&chs=330x100&chl=%D0%9F%D1%80%D0%BE%D1%81%D1%82%D1%8B%D0%B5%7C%D0%A1%D0%BB%D0%BE%D0%B6%D0%BD%D1%8B%D0%B5\")
Присутствие спец. символов, цифр и букв
Спец. символы — 3%
Только цифры — 33%
Только буквы — 24.7%
Букво-цифры — 39.3%
![\"\"](\"http://chart.apis.google.com/chart?cht=p3&chd=t:3,33,24.7,39.3&chs=330x100&chl=%D0%A1%D0%BF%D0%B5%D1%86.%20%D1%81%D0%B8%D0%BC%D0%B2%D0%BE%D0%BB%D1%8B%7C%D0%A2%D0%BE%D0%BB%D1%8C%D0%BA%D0%BE%20%D1%86%D0%B8%D1%84%D1%80%D1%8B%7C%D0%A2%D0%BE%D0%BB%D1%8C%D0%BA%D0%BE%20%D0%B1%D1%83%D0%BA%D0%B2%D1%8B%7C%D0%91%D1%83%D0%BA%D0%B2%D0%BE-%D0%A6%D0%B8%D1%84%D1%80%D1%8B\")
Регистр
91.5% — в нижнем регистре
3% — в вехнем регистре
5.5% — разный регистр
![\"\"](\"http://chart.apis.google.com/chart?cht=p3&chd=t:91.5,3,5.5&chs=330x100&chl=%D0%BD%D0%B8%D0%B6%D0%BD%D0%B8%D0%B9%7C%D0%B2%D0%B5%D1%80%D1%85%D0%BD%D0%B8%D0%B9%7C%D1%80%D0%B0%D0%B7%D0%BD%D1%8B%D0%B9\")
Наиболее популярные пароли
Что это может значить в реальности
Предположим, что некий злоумышленник имеет базу 5 самых распространнённых паролей и использует её для подбора всех аккаунтов вашего сервиса. Топ 5 паролей — это 2.9% вероятность успешного подбора за 5 попыток, а это 290 человек при общем количестве пользователй в 10 000 (маленький такой стартапчик).
Надо ли говорить, что эти люди лишатся сразу же и icq, и почты…
![\"\"](\"http://chart.apis.google.com/chart?cht=p3&chd=t:97.4,2.6&chs=400x100&chl=%D0%92%D1%81%D0%B5%20%D0%BE%D1%81%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5%20%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8%7C%D0%A2%D0%BE%D0%BF%205%20%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9\")
Если учесть все распространённые пароли(встречающиеся более 5 раз), которых всего 381, то они позволяют получить доступ к ~9.2% аккаунтов. Вдумайтесь, практически 10 часть Ваших пользователей может быть взломана малюсеньким словарём меньше чем в 400 паролей.
![\"\"](\"http://chart.apis.google.com/chart?cht=p3&chd=t:90.8,9.2&chs=400x100&chl=%D0%92%D1%81%D0%B5%20%D0%BE%D1%81%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5%20%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8%7C%D0%A2%D0%BE%D0%BF%20%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9\")
Топ 10 паролей
Самое вкусное, увы, звонких вариантов как во всем известном фильме тут нет, всё тривиально, и у большинства хабрачеловек не вызовет удивление.
- 1145 1234567
- 871 123456
- 332 7777777
- 303 password
- 292 12345
- 278 1111111
- 261 123456789
- 221 qwerty
- 216 111111
- 179 1234
![\"\"](\"http://chart.apis.google.com/chart?cht=p3&chd=t:11.45,5.78,3.32,3.03,2.92,2.92,2.72,2.16,1.82,1.71&chs=450x220&chl=1234567%7C123456%7C7777777%7Cpassword%7C123456%7C12345%7C1111111%7C111111%7C123456789%7Cqwerty\")
Выводы
Пользователи - идиоты
Без проверки пароля на сложность никуда. Минимальный набор правил определяющий длину пароля, наличие в нём одновременно букв и цифр, а также разного регистра должен быть внедрён в любую форму регистрации(а ещё лучше — генерите пароль для пользователя сами). Форма должна иметь порог попыток после которого пользователя перестаёт пускать без ввода капчи(очень-очень сложной капчи). Мой совет — ограничивайте это число тремя попытками. Хорошей идеей будет добавление счётчика неудачных попыток в профиль пользователя, для дальнейшего введения задержки между попытками входа для каждого аккаунта в отдельности. Тут правда стоит помнить о том, что пользователя могут начать ддосить чтобы он не мог войти в систему, но состояние недоступности гораздо лучше состояния утечки персональных данных.
Очень надеюсь, что эта информация поможет Вам делать свои сервисы лучше и безопаснее.
Комментарии