25 самых плохих паролей

Компания Splashdata, выпускающая программное обеспечение для управления пользовательскими паролями, сегодня опубликовала результаты своего исследования, целью которого было определение самых популярных пользовательских паролей. Splashdata выпускает программное обеспечение для Windows, Mac OS X и ряда мобильных платформ и на основании данных, полученных с согласия пользователей, разработчики опубликовали список 25 самых популярных паролей. В списке по-прежнему остались “12345678” и “password”, но появились и новые варианты.
http://cybersecurity.ru/crypto/138195.html



http://www.is74.ru/news/vernik/?ID=30170
 

__Tod__

Самец :)
  • password
  • 123456
  • 12345678
  • qwerty
  • abc123
  • monkey
  • 1234567
  • letmein
  • trustno1
  • dragon
  • baseball
  • 111111
  • iloveyou
  • master
  • sunshine
  • ashley
  • bailey
  • passw0rd
  • shadow
  • 123123
  • 654321
  • superman
  • qazwsx
  • michael
  • football
 
Интересно, как они провели анализ :) Обычно в целях безопасности хранят не сам пароль а md5 хэш
 
чето вспомнелось...
1) ооо если сюда написать свой пароль, он превращается в звездочки ********* !!!!!
2) ********* ыыыы точно )))
3) AHJfs99sdfgj
3) ааааа, ... (куча матерных слов)
 

Exhumed

Самец :)
а как же GOD?
или вот есть уникалы которые юзают пароль с лабиринта отражений "Сорок тысяч обезьян в ж... сунули банан" =))))))))))))
 

Ygi

Ословед
Использую 12345678 и всем доволен.
я конечно извиняюсь, но тот пароль что вы назвали не подходит, вы не могли бы написать его еще раз, только более внимательно, либо удалить из этой темы неправильный, потому что некоторые юзеры, уже второй год безуспешно пытаются подобрать верную комбинацию не обращая внимание на домашние обязанности ...
заранее спасибо...
 

Хиромант

Самец :)
Интересно, как они провели анализ :) Обычно в целях безопасности хранят не сам пароль а md5 хэш
Провели опрос, очевидно же. Анонимный опрос.
Использую 12345678 и всем доволен.
ВСЕ Я ТЯ ВЗЛАМАЮ АХАХАХА)))))))))))))))))))))))))))))))))
 

Vedimak

Ословед
Интересно, как они провели анализ :) Обычно в целях безопасности хранят не сам пароль а md5 хэш
Провели опрос, очевидно же. Анонимный опрос.

Ага, выберите свой пароль из списка :megalol:
Собирали же разработчики.
Первый и некрасивый вариант - на время проведения "исследования", заносили в открытом виде пароли в другую базу анонимно, т.е. никак не связно с логином юзера.
Второй и более вероятный вариант:
1. Собрали популярные хэши.
2. Подобрали под них пароли - благо пароли не сложные.
3. ????
4. PROFIT

P.S. некропостеры:megalol:
 

Хиромант

Самец :)
Интересно, как они провели анализ :) Обычно в целях безопасности хранят не сам пароль а md5 хэш
Провели опрос, очевидно же. Анонимный опрос.

Ага, выберите свой пароль из списка :megalol:
Собирали же разработчики.
Первый и некрасивый вариант - на время проведения "исследования", заносили в открытом виде пароли в другую базу анонимно, т.е. никак не связно с логином юзера.
Второй и более вероятный вариант:
1. Собрали популярные хэши.
2. Подобрали под них пароли - благо пароли не сложные.
3. ????
4. PROFIT

P.S. некропостеры:megalol:
Слабо верится, что под хеш можно вот так просто подобрать пароль. Такой брут будет длиться очень долго.
 
Добавлять по очереди то соль, то воду, то ещё чего, можно до бесконечности... Не вижу смысла.
Первая проблема - это, короткий, "не извращённый" (и часто состоящий только из цифр) пароль пользователя. Взлом заключается в сравнении украденного хеша и хеша из "радужной таблицы". Размеры таблицы - не бесконечны. Скажем при переборе всех паролей из 6 символов (т. е. перепробовав все возможные символы в таком пароле, например 0-9, a-z, A-Z, всего 62 символа) получаем 62^6 (62 символа в 6-ой степени) = 56'800'235'584 хешей. Каждый длиной 32 байта, значит места на диске для хранения таблицы нужно 56'800'235'584 * 32 = 1'817'607'538'688 т. е. примерно 2 Тбайта. Это не очень много , но и пароль у нас был длиной всего в 6 символов, и именно такие короткие пароли (ну или чуть длиннее 9 -12 символов, но тогда генерируются и хранятся хеши паролей по словарю, т. е. по списку чаще используемых узерами паролей, это обычные слова, цифры ну и т. д., т. е. не "извращённые" пароли) . А теперь посчитайте сколько хешей будет при длине пароля в 32 символа. Но заставлять узера вводить и помнить пароль из 32-ух символов, конечно же не реально, поэтому просто-напросто прогоняем реальный пароль узера 2 раза, например функцией md5();. После первого прогона мы получаем пароль, при чём не простой, а "извращённый", и длиной в 32 байта. А при втором прогоне, уже пароля из 32-х символов, получаем новый хеш, который и сохраняем. Теперь, что бы путём перебора определить из имеющегося хеша предыдущий хещ, а за тем по найденому предыдущему хешу - реальный пароль узера, нужна будет, мягко говоря, "бесконечная" таблица хешей.
Вот так, примерно!

Теперь возвращаемся к нашей главной проблеме, КОРОТКИЕ И ПРОСТЫЕ ПАРОЛИ узеров.
Что мне нужно, что бы "взломать" выше описанный способ "хренения" паролей. А главное - что я уже ИМЕЮ для этого?
А имею я совсем НЕ МАЛО! Можно сказать, что у меня уже есть пароль узера!!! А точнее говоря - у меня уже есть все пароли большинства узеров!!! А почему? да всё потому же! "короткие и простые пароли узеров".
Теперь, что я делаю.
1. Я регюсь на взламываемом сайте.
2. Взламываю БД или то место, где хранятся хеши паролей. (это условие данной темы)
3. Нахожу свой хеш. (по моему имени узера)
-. Зачем мне нужны первые три шага?
+. Для того, чтобы определить, каким образом получают хещ на сайте. Т. е. я перебираю возможные варианты:
md5($pass);
md5(md5($pass));
md5(md5(md5($pass)));
sha1(md5(crypt($pass)));
... и т. д., пока не получу мой хеш!
Если программер использовал просто md5(md5($pass));, то мне легче.
4. "Формула" получения хеша у меня есть, теперь мне нужна прога которая сгенерирует
все хеши ПО ДАННОЙ формуле (скачаю или сам напишу), и не много времени (если в секунду 1'000'000 хешей, то для 56'800'235'584 хешей это около 20 часов, НО это считайте МАКСИМУМ, а если по словарю перебирать или только пароли из цифр, то времени на порядок меньше потребуется).
И ВСЁ! Все пароли длиной до 6-и символов у меня "в кармане"!
И так! Этот метод взломали, теперь ПРО СОЛЬ...
Ломаем метод автора статьи...
-. Выполняю первые 3 шага.
Теперь, если я взломал БД и получил хеши паролей, то я также и получил каждую "солинку"!!!
И что я делаю???
Да всё тоже самое!!!
Просто теперь при поиске "формулы" получения хеша я добавляю эту соль, при чём всеми возможными вариантами!
md5(md5($pass.$salt));
md5(md5($pass).$salt);
md5(sha1($salt.crypt($pass)));
... и т. д..
Ну а далее думаю уже догадываетесь... Генерю все хеши добавляя соль УЖЕ в правильное место и используя правильную формулу.
НО здесь как видите уже есть один "худенький" плюсик.
Речь уже идёт не о взломе всех паролей, а о взломе одиночного аккаутна, соль то для каждого узера своя, а значит генерировать таблицу придётся для каждого узера заного. Во как!
А почему плюсик "худенький"???
Да опять же всё потому, что "ПРОСТЫЕ И КОРОТКИЕ ПАРОЛИ"!
Начинаю генерить по словарю используя только цифры (большинство паролей - это даты рождения). Обычно на сайте требуют пароль длиной не менее 6-и символов, т. е. я перебираю например:
даты типа 010101; (длина 6 символов, всего их от 01 января 1901 года, до 22 апреля 2011 где то 365*110=36500 !!! ВСЕГО ТО ?!! и это я ещё щедрый, а можно смело убрать первые лет 50 и последнии лет 10-15.
Так же, даты когда узер пишет что то типа 111977; (1 января 1977 года, т. е. варианты без нулей)
Так же варианты с 7-и значными датами и с 8-и значными...
"Год у меня был... 3 - за побег... 5 - за дет-сад... ну сколько за старуха дадут? ну пусть 10 лет... И я из-за каких-то 16 лет........................." =)))
Ну пусть у нас получилось всего 1'000'000 вариантов даты рождения! Если машина генерирует 1'000'000 хешей в секунду - получается я буду вскрывать по узеру в секунду, а если двигаться от младших к старшим, то ещё быстрее!!!
И что у нас получилось? Мы вскрыли за один час - 3600 узеров "с солью!
И вся прелесть в том, что и соль не помогла!
 

levko

.I.КРЫШУЮ ФОРУМ.I.
СуперМодератор
мне кажется у многих популярный пароль-это дни рождения...
 

Vedimak

Ословед
поскольку хеш в md5 будет различный даже для пароля с одинаковым набором символов, в одной и той же раскладке и регистре клавиатуры.
Я перечитал несколько раз. Что, простите?

Вон выше Неплохо неплохо написал на сабж большое полотно, там много букв, цифр, времени, даже функции встречаются, мне кажется когда человек пишет большие посты, он просто не может быть не прав.
Да и про соль. Разрабы сами собирали статистику. Они явно знают каким образом генерится их соль.
 
Сверху