Geekly articles weekly

Desfile de contraseñas (análisis de ~ 5 mil millones de contraseñas de fugas)

El año pasado, en DeviceLock, analizamos las contraseñas filtradas . En ese momento, en nuestra "colección" de contraseñas había alrededor de 4 mil millones de pares únicos de inicio de sesión / contraseña. Desde el último estudio, la "colección" se reponía con casi 900 millones de nuevos inicios de sesión y contraseñas únicas. Por cierto, puede seguir las actualizaciones de la "colección" de contraseñas a través de mi propio canal de Telegram " Fugas de información ".



Ha llegado el momento de un nuevo estudio. Vamos ...


El estudio incluyó aproximadamente 4.900 millones de pares únicos de inicio de sesión / contraseña. En este caso, el inicio de sesión se entiende como una dirección de correo electrónico. Aquellas parejas en las que se utilizó un nombre de usuario que no sea una dirección de correo electrónico como inicio de sesión fueron descalificadas y no afectaron el resultado del estudio.


Por separado, observo que todo el tiempo (a partir de la primera investigación de contraseñas en 2017), analizamos 29.500 millones de contraseñas (incluidas las no únicas).


Las fuentes de los datos analizados para nosotros son varias comunidades involucradas en la recuperación de contraseñas de hashes (por ejemplo, hashes.org ) y foros en la sombra donde las filtraciones masivas de contraseñas descifradas (recuperadas) y hash se presentan en acceso abierto.


Intentamos maximizar la limpieza de datos de "basura" (entradas vacías y duplicadas). Identificamos y descalificamos las contraseñas generadas automáticamente (aquellas que no son establecidas por los propios usuarios, sino por el servicio que permitió la filtración de estas mismas contraseñas), así como registros automáticos masivos (cuando los bots inician cuentas en uno u otro servicio que hizo la filtración). Los caracteres cirílicos se convierten en una sola codificación.


Para 2019, se pueden observar las siguientes fugas principales (más de 25 millones de pares de inicio de sesión / contraseña) que se incluyeron en este estudio:


  • servicio de genealogía " MyHeritage " - 180 millones
  • MyFitnessPal , una aplicación para la contabilidad de fitness y nutrición: 49 millones
  • Servicio de creación de video en la nube de Animoto : 40 millones
  • tienda de ropa en línea " Shein.com " - 31 millones
  • portal educativo " Chegg " - 29 millones
  • desarrollador de juegos en línea Zynga - 26 millones

Quiero llamar la atención sobre el hecho de que los números en la lista anterior no son el tamaño de la fuga permitida por un servicio en particular, sino el número de contraseñas descifradas disponibles en el momento de este estudio. Estas filtraciones podrían ocurrir antes de 2019, pero solo en 2019 las contraseñas descifradas estuvieron disponibles.


En el momento de la investigación en la base de datos de contraseñas:


  • 4,883,711,954 contraseñas totales (había 4,039,047,139)
  • 779,281,749 contraseñas contienen solo números (había 652,395,037)
  • 1,275,706,800 contraseñas contienen solo letras (había 1,060,863,995)
  • 13,696,084 contraseñas contienen las letras del alfabeto cirílico (era 12,205,832)
  • 159,948,243 contraseñas contienen letras, números y caracteres especiales (había 129,628,109)
  • 3.126.556.695 contraseñas contienen 8 o más caracteres (había 2.604.395.502)

Con base en estos datos, se compiló nuestro tradicional "hit parade" de contraseñas. Entre paréntesis, indique la ubicación de grabación anterior en la parte superior (si se incluyó antes), en negrita (negrita): nuevas entradas que no llegaron a la parte superior antes.


10 contraseñas más populares:


  1. 123456
  2. 123456789
  3. qwerty
  4. 12345 (5)
  5. contraseña (4)
  6. 12345678 (8)
  7. qwerty123 (6)
  8. 1q2w3e (7)
  9. 111111
  10. 1234567890

Como puede ver, no se han producido cambios significativos dentro de los diez primeros, solo algunos de los registros han cambiado de lugar. Curiosamente, se observa exactamente la misma imagen dentro de las primeras cien contraseñas. El cambio más significativo es la aparición al final de los primeros cien de las contraseñas " zinch ", " princesa " y " sol ".


Y así es como se ven las 10 contraseñas más populares de las filtraciones para solo 2019:


  1. 123456
  2. 123456789
  3. 12345
  4. qwerty
  5. contraseña
  6. qwerty123
  7. 1q2w3e
  8. 12345678
  9. 111111
  10. 1234567890

Es fácil notar que no hay diferencias fundamentales con las contraseñas generales de Top-10 (ver arriba).


Las 10 contraseñas más populares que contienen solo letras:


  1. qwerty
  2. contraseña
  3. qwertyuiop
  4. qwert
  5. iloveyou
  6. zxcvbnm
  7. desconocido
  8. qazwsx (7)
  9. dragón (8)
  10. mono (9)

Las 10 contraseñas más populares que contienen letras, números y caracteres especiales:


  1. Aa123456.
  2. ) 4ever (1)
  3. 1qaz @ WSX (2)
  4. P @ ssw0rd (3)
  5. p @ ssw0rd (5)
  6. 123456QQAqqa_ (4)
  7. 1qaz! QAZ
  8. Spiritwear_2004
  9. wowecarts @ 123 (6)
  10. película @ 123 (8)

10 contraseñas cirílicas más populares:


  1. contraseña (2)
  2. ytsuken (3)
  3. yo (1)
  4. amor
  5. hola
  6. natasha (7)
  7. amor (6)
  8. maxim
  9. Andrew
  10. el sol

Aquí el cambio más significativo dentro de los primeros cien es la aparición de un " vampiro " al final de la contraseña.

Source: https://habr.com/ru/post/484088/

More articles:


All Articles