Огромная база данных сайта для измен Ashley Madison была почти месяц тому назад. Данные 36 млн аккаунтов, включая парольные хеши, стали достоянием общественности. В конце прошлой недели стало известно, что группа парольных взломщиков CynoSure Prime , что 15,26 млн паролей в базе обработано с применением MD5, что на несколько порядков облегчает брутфорс. В итоге, взломав 11,7 млн паролей, хакеры .
Всего CynoSure Prime удалось взломать 11 716 208 паролей.
Среди них уникальных паролей 4 867 246.
Паролей, полностью совпадающих с именем пользователя 630 000.
В основном пароли, используемые пользователями, оказались очень просты. Чаще всего это буквы нижнего регистра с цифрами, или вообще одни только буквы. С другой стороны, хакеры отмечают, что брутфорсили пароли, начиная с самых простых, так что вполне логично, что на выходе таковых оказалось больше всего.
Самый короткий пароль оказался всего 1 символ длиной. Самый длинный – 28 символов. Средняя, наиболее распространенная длина пароля – 6-8 символов.
Также хакеры составили список наиболее интересных и смешных паролей, помимо обычного списка 10\50\100 популярных (то есть повторяющихся чаще всего). Результаты действительно довольно забавные:
Иногда пользователи считают, что чем больше слов, тем лучше пароль:
mypasswordispassword
superhardpassword
thebestpasswordever
thisisagoodpassword
Некоторые сомневаются, стоит ли пользоваться услугами сайта для измен:
ishouldnotbedoingthis
ithinkilovemywife
thisiswrong
whatthehellamidoing
whyareyoudoingthis
cheatersneverprosper
donteventhinkaboutit
isthisreallyhappening
Некоторые пользователи вообще находятся в стадии отрицания:
likeimreallygoingtocheat
justcheckingitout
justtryingthisout
goodguydoingthewrongthing
Наивные пользователи, которые считают
Ashley
Madison
простым сайтом знакомств:
lookingfornewlife
friendswithbenefits
Пользователи, которые верят в безопасность
Ashley
Madison
:
youwillneverfindout
youwillnevergetthis
secretissafewithme
Пароли из
xkcd
(https://xkcd.com/936/)
batteryhorsestaple
correcthorsebatterystaple
Некоторые, похоже, догадываются, что такое
Ashley
Madison
:
nothingfound
theywererobots
nobodyhere
Просто забавное:
everynameitriedwastaken
allthegoodpasswordshavegone
lickemlikeshelikesit
lildickinyourpussyn0w
satisfactionwithlicking
blackfromthewaistdown
smalldickbuthardworker
Впрочем, «скучный список", то есть Топ-100 паролей, взломщики опубликовали тоже. В данном списке ничего смешного уже нет, здесь все предсказуемо примитивно и плохо:
Пароль | Количество использований |
123456 | 120511 |
12345 | 48452 |
password | 39448 |
34275 | |
123456789 | 26620 |
qwerty | 20778 |
12345678 | 14172 |
abc123 | 10869 |
pussy | 10683 |
1234567 | 9468 |
696969 | 8801 |
ashley | 8793 |
fuckme | 7893 |
football | 7872 |
baseball | 7710 |
fuckyou | 7458 |
111111 | 7048 |
1234567890 | 6572 |
ashleymadison | 6213 |
password1 | 5959 |
madison | 5219 |
asshole | 5052 |
superman | 5023 |
mustang | 4865 |
harley | 4815 |
654321 | 4729 |
123123 | 4612 |
hello | 4425 |
monkey | 4296 |
000000 | 4240 |
hockey | 4191 |
letmein | 4140 |
11111 | 4077 |
soccer | 3936 |
cheater | 3908 |
kazuga | 3871 |
hunter | 3869 |
shadow | 3831 |
michael | 3743 |
121212 | 3713 |
666666 | 3704 |
iloveyou | 3671 |
qwertyuiop | 3599 |
secret | 3522 |
buster | 3402 |
horny | 3389 |
jordan | 3368 |
hosts | 3295 |
zxcvbnm | 3280 |
asdfghjkl | 3174 |
affair | 3156 |
dragon | 3152 |
987654 | 3123 |
liverpool | 3087 |
bigdick | 3058 |
sunshine | 3058 |
yankees | 2995 |
asdfg | 2981 |
freedom | 2963 |
batman | 2935 |
whatever | 2882 |
charlie | 2860 |
fuckoff | 2794 |
money | 2686 |
pepper | 2656 |
jessica | 2648 |
asdfasdf | 2617 |
1qaz2wsx | 2609 |
987654321 | 2606 |
andrew | 2549 |
qazwsx | 2526 |
dallas | 2516 |
55555 | 2501 |
131313 | 2498 |
abcd1234 | 2489 |
anthony | 2487 |
steelers | 2470 |
asdfgh | 2468 |
jennifer | 2442 |
killer | 2407 |
cowboys | 2403 |
master | 2395 |
jordan23 | 2390 |
robert | 2372 |
maggie | 2357 |
looking | 2333 |
thomas | 2331 |
george | 2330 |
matthew | 2298 |
7777777 | 2294 |
amanda | 2273 |
summer | 2263 |
qwert | 2263 |
princess | 2258 |
ranger | 2252 |
william | 2245 |
corvette | 2237 |
jackson | 2227 |
tigger | 2224 |
computer | 2212 |
Выводы аналитиков оказались неутешительными: удаленная атака по словарям позволяет скомпрометировать 37% учетных записей, поскольку большинство пользователей продолжает выбирать самые простые комбинации букв и цифр для защиты своих компьютеров и установленных на них систем.
Так, подсчитано, что наиболее распространенными паролями у российских пользователей являются пароли, состоящие только из цифр: на их долю приходится приблизительно 53%. 88% используемых паролей – это пароли, содержащие в себе либо цифры, либо символы английского алфавита в нижнем регистре, либо и то и другое.
При этом используемые пароли российскими пользователями в большинстве случаев не превышают 8-ми символов, и лишь единицы используют пароли длиннее 12-ти символов. Вместе с тем пароли до 8-ми символов с высокой долей вероятности могут быть скомпрометированы в реальных условиях, говорят эксперты.
Российский список наиболее распространенных паролей на 50% состоит из расположенных рядом символов (1234567, qwerty) – именно такие комбинации вошли в ТОП-10 распространенных паролей.
Парадоксальные выводы были сделаны при анализе паролей администраторов информационных систем. Несмотря на использование паролей с большей длиной, администраторы в 15% случаев выбирают «словарные» пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе.
Еще одна отличившаяся в ходе исследования группа – женщины. Установлено, что их пароли являются несколько более уязвимыми для атакующего благодаря более частому использованию словарных паролей. Удаленному злоумышленнику в среднем требуется меньше времени на их подбор.
В отчете также рассматривается проблема использования «слабых» паролей в контексте соответствия требованиям стандарта по защите информации в индустрии платежных карт PCI DSS (Payment Card Industry Data Security Standard). По результатам исследования 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS.
Все перечисленные факторы – длина пароля, используемый набор символов, полное или частичное совпадение пароля с именем пользователя (логином), наличие пароля в публично распространяемых словарях – имеют принципиальное значение для его безопасности и устойчивости к взлому. Подсчитано, что наложение элементарных ограничений, таких как контроль минимальной длины и сложности пароля, снижает вероятность компрометации системы более чем в 10 раз, заключил эксперт по информационной безопасности Positive Technologies Дмитрий Евтеев.
«Данные, полученные Positive Technologies, подтверждают и наблюдения аналитиков «ЛК», - комментирует Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». - Хочется добавить, что помимо риска использования простых или «предсказуемых» паролей, существует еще одна угроза - пользователи часто применяют один и тот же пароль для разных ресурсов. Ведь сегодня среднестатистический пользователь, для того чтобы быть в безопасности, должен держать в голове десятки паролей к различным онлайн-службам. Однако, желая упростить себе жизнь, многие пользователи часто начинают использовать одинаковые пароли для доступа ко всему - к почте, социальным сетям и др. А это порой приводит к тому, что пароль для доступа к какому-нибудь сомнительному ресурсу оказывается тем же самым, что и, например, код к электронному кошельку».
По мнению директора по продуктам Aladdin Антона Крячкова, исследование Positive Technologies «использует обширный набор источников и основано на «живых» данных, что особенно ценно». Однако, по его словам, обеспечение защиты корпоративной информации на базе «примитивной пары «логин - пароль» аналогично постройке кирпичного дома на пластилиновом фундаменте». «Обеспечение надёжной процедуры аутентификации в рамках информационной системы компании является первичной платформой для дополнительных защитных мер, таких как безопасный доступ к базам данных, порталам, обеспечение контроля физического доступа и доступа к приложениям», - отметил Крячков.
А теперь Топ-10:
1. 1234567
2. 12345678
3. 123456
4. Пустая строка
5. 12345
6. 7654321
7. qweasd
8. 123
9. Qwerty
10. 123456789
Подборка различных словарей для брута, разбитых по группам и по разным txt файлам. Архив содержит словари даты, словари женских и мужских имен и фамилий, наборы цифр для генерации паролей и базы часто встречающихся паролей в социальных сетях и на сайтах. Описание содержимого базы словарей для брута ниже:
Цифровые словари
- Цифровой словарь — 1,02 ГБ
- От 000000000 До 999999999 — 246 КБ
- От 00000000 До 99999999 — 111 КБ
- Набор цифр по увеличению 1 11 111 — 180 КБ
- Даты рожденных в Январе — 6,17 КБ
- Даты рождения от 17.01.1990 по 17.01.2000 — 135 КБ
- Даты рождения от 01.01.2000 по 08.12.2012 — 226 КБ
- Даты с 75 года по 07 год — 69,7 КБ
- Даты от 01.01.1950 по 31.12.1999 — 283 КБ
Женские имена и фамилии
- Словарь женских имен и фамилий от ‘А’ до ‘Я’ на русском языке — 187 КБ
- Словарь женских имен и фамилий от ‘А’ до ‘Я’ транслитом — 194 КБ
- ‘А’ в txt ‘А’ ‘Я’ в txt ‘Я’ — 176 КБ
Мужские имена и фамилии
- Словарь мужских имен и фамилий от ‘А’ до ‘Я’ на русском языке — 160 КБ
- Словарь мужских имен и фамилий от ‘А’ до ‘Я’ транслитом — 167 КБ
- ‘А’ в txt ‘А’ ‘Я’ в txt ‘Я’ — 160 КБ
- Женские и Мужские имена на русском языке — 15,8 КБ
Беспорядочные словари
Прочее
- TOP паролей интернета — 29,7 КБ
- Пароли от форумчан — 79,4 КБ
- Пароли для брута дедиков + Логины для брута дедиков — 888 байт
Словари для брута
Если ваш пароль попадает в этот список, то взломать вас будет очень просто, если захотят, то сделают это с 100% вероятностью! Я всегда советую использовать сложные пароли, типа %G87dk3*$gf67V Вот с таким паролем вы будете в полной безопасности. В этой статье не буду расписывать, как защитить себя и свои данные в Интернете, я сделаю в будущем отдельный пост. А сейчас встречайте:
Самые популярные пароли
123456
123456789
qwerty
111111
1234567
666666
12345678
7777777
123321
0
654321
1234567890
123123
555555
vkontakte
gfhjkm
159753
777777
TempPassWord
qazwsx
1q2w3e
1234
112233
121212
qwertyuiop
qq18ww899
987654321
12345
zxcvbn
zxcvbnm
999999
samsung
ghbdtn
1q2w3e4r
1111111
123654
159357
131313
qazwsxedc
123qwe
222222
asdfgh
333333
9379992
asdfghjkl
4815162342
12344321
любовь
88888888
11111111
knopka
пароль
789456
qwertyu
1q2w3e4r5t
iloveyou
vfhbyf
marina
password
qweasdzxc
10203
987654
yfnfif
cjkysirj
nikita
888888
йцукен
vfrcbv
k.,jdm
qwertyuiop
qwe123
qweasd
natasha
123123123
fylhtq
q1w2e3
stalker
1111111111
q1w2e3r4
nastya
147258369
147258
fyfcnfcbz
1234554321
1qaz2wsx
andrey
111222
147852
genius
sergey
7654321
232323
123789
fktrcfylh
spartak
admin
test
123
azerty
abc123
lol123
easytocrack1
hello
saravn
holysh!t
1
Test123
tundra_cool2
456
dragon
thomas
killer
root
1111
pass
master
aaaaaa
a
monkey
daniel
asdasd
changeme
computer
jessica
letmein
mirage
loulou
lol
superman
shadow
admin123
secret
administrator
sophie
kikugalanetroot
doudou
liverpool
hallo
sunshine
charlie
parola
100827092
michael
andrew
password1
fuckyou
matrix
cjmasterinf
internet
hallo123
eminem
demo
gewinner
pokemon
abcd1234
guest
ngockhoa
martin
sandra
asdf
hejsan
george
qweqwe
lollipop
lovers
q1q1q1
tecktonik
naruto
12
password12
password123
password1234
password12345
password123456
password1234567
password12345678
password123456789
000000
maximius
123abc
baseball1
football1
soccer
princess
slipknot
11111
nokia
super
star
666999
12341234
1234321
135790
159951
212121
zzzzzz
121314
134679
142536
19921992
753951
7007
1111114
124578
19951995
258456
qwaszx
zaqwsx
55555
77777
54321
qwert
22222
33333
99999
88888
66666
А вы нашли свой пароль в этом списке?
Инструменты Kali Linux
Ниже вашему вниманию представлены словари паролей, содержащие списки паролей, часто используемых пользователями. Списки паролей ("wordlist") сгруппированы по тематикам, все пароли прошли проверку на актуальность применения, поэтому количество паролей в словарях не велико, что позволит тратить меньше времени на перебор, повышая эффективность атаки "по словарю". Практически все словари ориентированы на русскоязычных пользователей, т. к. в большинстве своем состоят из русских слов, набранных на английской раскладке, например: "пароль" будет выглядеть как "gfhjkm". Как показывает практика этот метод является одним из часто используемых.
В качестве паролей пользователи обычно используют несложные слова, которые ассоциируется или с типом сервиса на который устанавливается пароль, или с любимым предметом, именем, или с настроением пользователя на момент придумывания пароля. Многие пользователи предпочитают использовать в качестве пароля цифровые коды, несмотря на большую свою длину ими оказываются даты рождения, номера телефонов.
Словари паролей могут использоваться не только для подбора самого пароля, но и для ответа на так называемый "секретный вопрос", используемый для восстановления забытого пароля на ряде онлайн-сервисов.
Тематические архивы могут содержать несколько списков паролей, обусловлено это наличием модифицированных листов паролей. При назначение имени файлов используется следующая маркировка:
"название_метод_модификация.txt"
, где "название
" — соответствует типу словаря;
"метод
" — указывает на применяемый метод обработки пароля, например: "rine" — русское слово на английской раскладке;
"модификация
" — указывает на примененную к указанному ранее "методу
" модификацию, с целью убрать невозможные для использования при некоторых условиях пароли, например: "ns" — означает, что в паролях используются только буквы и цифры, без каких-либо других спецсимволов.
Словари паролей:
Список дат от 01/01/1950 до 31/12/1999 (36524 слова)
Список названий столиц мира (173 слова)
Список названий стран (167 слов)
Список крупнейших городов мира на русском языке (345 слов)
Список русских имен (1988 слов)
Список наиболее употребляемых глаголов русского языка (9421 слово)
Список наиболее употребляемых существительных русского языка (14842 слова)
Список наиболее употребляемых наречий русского языка (1510 слов)
Список наиболее употребляемых прилагательных русского языка (6464 слова)
Список часто употребляемых слов в разговорном в "живом" русском языке (4422 слова)
Список слов, характерезующих настроение и эмоции (836 слов)
Список слов из игры Scrabble («Эрудит») (53 632 слова)
Еще списки паролей вы можете найти на следующих веб-сайтах:
http://www.outpost9.com/files/WordLists.html
http://wordlist.sourceforge.net/
http://www.insidepro.com/eng/download.shtml
http://www.passwords.ru/dic.php
[c] uinC Team
Статья написана специально для UInC (http://www.uinc.ru).
Все документы и программы на этом сайте собраны ТОЛЬКО для образовательных целей, мы не отвечаем ни за какие последствия, которые имели место как следствие использования этих материалов\программ. Вы используете все вышеперечисленное на свой страх и риск.
Любые материалы с этого сайта не могут быть скопированы без разрешения автора или администрации.
Мы с детства не любим запретов и стремимся их нарушить всеми средствами. Возможно из-за детских запретов, никто не любит ограничения в доступе к сетям и информации. К счастью, большинство людей ленивы и придумывают однотипные пароли.
Никто не любит сложных, длинных, разных паролей, которые нужно еще и менять, как минимум раз в 3 месяца. Владельцы Wi-Fi роутеров так и вовсе не запариваются при выборе пароля для своей сети и действуют по прицепу “чем проще и веселее – тем лучше”, иначе даже гости могут засмеять за излишнюю любовь к беспорядочным наборам символов.
Если Вы все еще думаете, что в нашем мире очень много неординарных, оригинальных, креативных людей – Вы сильно ошибаетесь. Если за мерило оригинальности взять пароли, которые придумывают пользователи – внезапно окажется, что 90% людей однотипны и похожи друг на друга.
Большинство пользователей используют как пароли следующую информацию о себе:
- Имя, фамилия, отчество или кличка/погоняло человека.
- Своя дата рождения или близких родственников.
- Имена детей, родственников, питомцев.
- Свой номер телефона или близких.
- Сочетание символов на близко расположенных клавишах клавиатуры.
Самые популярные пароли от wifi
По данным самых популярных приложений для “шары” паролей от wi-fi сетей, самые в мире популярные пароли от вай фай следующие:
123456 | 123123 | yankees |
12345 | hello | asdfg |
password | monkey | freedom |
DEFAULT | hockey | batman |
123456789 | 11111 | fuckoff |
qwerty | soccer | money |
12345678 | cheater | pepper |
abc123 | kazuga | asdfasdf |
pussy | hunter | 1qaz2wsx |
1234567 | michael | 987654321 |
696969 | 121212 | andrew |
fuckme | 666666 | qazwsx |
football | iloveyou | 55555 |
baseball | qwertyuiop | 131313 |
fuckyou | secret | abcd1234 |
111111 | buster | asdfgh |
1234567890 | hosts | killer |
password1 | zxcvbnm | master |
madison | asdfghjkl | 7777777 |
superman | dragon | amanda |
mustang | 987654 | summer |
harley | liverpool | qwert |
654321 | bigdick | computer |
Самые популярные числовые пароли
Зачастую народ ленится использовать сочетание букв и цифр в своих паролях (как советуют безопасники) и используют только цифры, чтобы не “париться”. Вот список самых популярных из цифровых сочетаний:
000000 | 12345678 | 252525 |
0000000 | 123456789 | 333333 |
00000000 | 1234567890 | 444444 |
0000000000 | 12345678910 | 456123 |
000000 | 123654 | 456789 |
10101 | 123654789 | 5201314 |
10203 | 123789 | 54321 |
12345 | 124578 | 55555 |
123456 | 131313 | 555555 |
123456789 | 141414 | 654321 |
80808 | 142536 | 666666 |
98765 | 143143 | 696969 |
987654321 | 14344 | 741852 |
101010 | 1435254 | 741852963 |
102030 | 147258 | 753951 |
11111 | 147258369 | 7654321 |
111111 | 147852 | 777777 |
1111111 | 147852369 | 7777777 |
11111111 | 151515 | 789456 |
1111111111 | 159357 | 789456123 |
112233 | 159753 | 852456 |
11223344 | 161616 | 87654321 |
121212 | 171717 | 888888 |
123123 | 181818 | 88888888 |
123123123 | 202020 | 951753 |
123321 | 212121 | 987654 |
1234 | 22222 | 987654321 |
12341234 | 222222 | 9876543210 |
12345 | 232323 | 999999 |
123456 | 242424 | 999999999 |
1234567 | 246810 | 321321321 |
“Это же Россия расслабься” – гласит нам известный мэм. Конечно, в нашей стране своя специфика и свои самые популярные пароли, вот некоторые из них:
- Putin123
- vPutin
- russia2018
- so4i2014
- 11vobla
- zaqxsw
- medvedi
- Leningrad
- Palundra
- Monetka
- Rubli1000
- Medvedev
- Ebatkopat
- Armeika
- kriminal
- kalasnikov
- matreska
- vodka05
- baltika7
- baltika3
- sputnik
- xuyxuy
- bratva
- Alaska
- Respect
- Gorilka
- Eskander
Как придумать надежный пароль, который не взломать
На самом деле придумать надежный и устойчивый пароль не сложно — Достаточно использовать комбинацию из букв, цифр и специальных (например: %). Для того, чтобы не забыть сложный пароль – вы можете использовать в нем знакомые до боли слова/имена/фамилии.
Совет: Мало придумать хороший, сложный пароль, нужно его еще менять несколько раз в год, хранить в тайне и не записывать на бумаге.
Например, можно скомбинировать ваше имя, улицу проживания, сотовый телефон и зарплату. Например, если Вас зовут Дима, Ваш номер телефона 8 955 333 88 99, а зарплата 55 000 рублей – то вот отличный пароль на основе этих данных: d8i9m5a5l3e3n3i8n8a99%55k.
Факт: Любой пароль можно взломать, но простой пароль взламывается за пару секунд, а сложный за несколько десятков лет.
Какие пароли использовать крайне опасно. 5 вариантов с примерами!
Использовать некоторые пароли в качестве защиты ценной информации или даже своей wifi сети весьма опасно. Простой пароль сможет защитить только от дурака, да и то не от всякого.
Поделимся простыми советами о том, какие пароли никогда не нужно использовать:
- Во-первых, не нужно использовать все те пароли (или их комбинации), которые указаны в данной статье. Например: 1234567890
- Во-вторых, не используйте слова или сочетания в классическом виде. Например: DimaSobolev или MoyParol
- В-третьих, не используйте общеизвестную информацию о Вас в качестве пароля. Например, адрес проживания: Lenena100.
- В-четвертых, некогда не используйте только числовой пароль, обязательно разбавляйте цифры буквами. Пример разбавления цифрового пароля буквами: 1a2W34567890M
- В-пятых, не оставляйте пароли по умолчанию. Например: admin/admin.