22 января 2015

25 худших паролей 2014 года: что изменилось по сравнению с 2010-м?

Безопасность Новости

На популярном техническом сайте Gizmodo был опубликован список самых популярных паролей 2014 года. Как и все публикации в этом жанре, статья высмеивает «этих болванов» (дословно — «those morons»), пользующихся неимоверно слабыми паролями.

В этом есть изрядная доля иронии: одна из массовых утечек в далеком 2010 году произошла с издательством Gawker Media, которому и принадлежит Gizmodo. Тогда хакерам удалось расшифровать около 200 тыс. паролей и составить список 50 самых популярных. Будет интересным упражнением сравнить их с нынешним списком: насколько изменилось отношение людей к безопасности за это время?

25 Worst Passwords of 2014

Очевидно, не так сильно, как того хотелось бы: 16 из 25 самых популярных (и хотя бы по одной этой причине самых неудачных) паролей 2014 года можно обнаружить среди первых 25 позиций «того самого» списка утечки Gawker Media. Если сравнить со всеми 50 паролями из той утечки, то обнаружится, что новых всего-навсего четыре штуки. Так что если вы используете в качестве пароля «access», «mustang» или поистине прекрасный «696969», то следует констатировать: вы относитесь к паролям куда серьезнее, чем большинство людей.

Что касается списка, то он составлен компанией SplashData на основе множества массивов паролей, попавших в Сеть в 2014 году. Как вы можете видеть ниже, SplashData выкладывает подобные списки уже не первый год и отмечает изменения, которые в них происходят. Я оставил их ремарки и добавил свои — пароли, которые фигурируют в списке топ-50 из утечки Gawker, отмечены звездочкой.

  1. 123456 (без изменений)*
  2. password (без изменений)*
  3. 12345 (вверх на 17 позиций)*
  4. 12345678 (вниз на 1)*
  5. qwerty (вниз на 1)*
  6. 123456789 (без изменений)
  7. 1234 (вверх на 9)*
  8. baseball (новый)*
  9. dragon (новый)*
  10. football (новый)*
  11. 1234567 (вниз на 4)*
  12. monkey (вверх на 5)*
  13. letmein (вверх на 1)*
  14. abc123 (вниз на 9)*
  15. 111111 (вниз на 8)*
  16. mustang (новый)
  17. access (новый)
  18. shadow (без изменений)*
  19. master (новый)*
  20. michael (новый)*
  21. superman (новый)*
  22. 696969 (новый)
  23. 123123 (вниз на 12)*
  24. batman (новый)*
  25. trustno1 (вниз на 1)*

Интересно, что 80% паролей, которые составители свежего списка пометили как «новые», на самом деле фигурировали среди 50 «лучших» из утечки Gawker. Также интересно, что «123456789» для списка 2014 года не является новым (он был в списке за 2013 год), но среди 50 паролей из списка 2010 года его не было.

Справедливости ради отметим, что пароли, утекшие в свое время у Gawker, были зашифрованы. Шифрование паролей на стороне сервера — стандартная мера безопасности. Но так уж получилось, что пароли эти были настолько смехотворны, что их было несложно извлечь из зашифрованных данных. Не будем забывать, что в силу специфики Gawker речь идет о технически подкованных пользователях: как мы видим, даже они относятся к паролям откровенно наплевательски.

В выводе, который можно извлечь из этой истории, нет ничего нового: люди безнадежны, когда дело касается паролей

В выводе, который можно извлечь из этой истории, нет ничего нового: люди безнадежны, когда дело касается паролей. Или, если смотреть шире, люди безнадежны, когда речь заходит об информационной безопасности в целом. Поэтому специалистам по безопасности придется взять дело в свои руки. Сложно винить пользователей в том, что их безалаберность стала причиной утечки вроде этой. Или той, в которой фигурировали фотографии знаменитостей. Ну вот такие мы, люди. Безалаберные. Дальше-то что?

Я могу рассказать вам (да что там, уже рассказывал), как можно создавать хорошие пароли, которые несложно запомнить. Это не квантовая физика — почти все неплохо понимают, каким должен быть пароль. Другое дело, что всем нам очень лениво помнить кучу надежных паролей для разных ресурсов. Поэтому мы либо используем один пароль на множестве сайтов, либо делаем пароли слишком простыми.

Именно поэтому такие штуки, как разработанная Twitter платформа аутентификации Digits или технология Apple Touch ID, а также все остальные системы аутентификации на основе биометрии или одноразовых SMS-паролей выглядят очень многообещающими. Да, они неидеальны — у каждой из них есть недостатки. Но с ними мы получаем возможность экспериментировать с разными формами аутентификации и их комбинациями. И, может быть, когда-нибудь эти эксперименты все-таки позволят нам избавиться от самого неидеального варианта — пароля.