كلمة مرور الاستعراض (تحليل ~ 5 مليار كلمة مرور من التسريبات)

في العام الماضي ، في DeviceLock ، قمنا بتحليل كلمات المرور المسربة . في ذلك الوقت ، في "مجموعة" كلمات المرور الخاصة بنا ، كان هناك حوالي 4 مليارات زوج فريد لتسجيل الدخول / كلمة المرور. منذ آخر دراسة ، تم تجديد "المجموعة" بحوالي 900 مليون تسجيل دخول وكلمة مرور فريدة جديدة. بالمناسبة ، يمكنك متابعة تحديثات "مجموعة" كلمات المرور من خلال قناة "برقية المعلومات " الخاصة بي.

لقد حان الوقت لدراسة جديدة. دعنا نذهب ...

وشملت الدراسة ما يقرب من 4.9 مليار زوج فريد لتسجيل الدخول / كلمة المرور. في هذه الحالة ، يتم فهم تسجيل الدخول كعنوان بريد إلكتروني. تم استبعاد أولئك الأزواج الذين تم استخدام اسم مستخدم آخر غير عنوان البريد الإلكتروني لتسجيل الدخول ولم يؤثروا على نتيجة الدراسة.

بشكل منفصل ، لاحظت أنه طوال الوقت (بدءًا من البحث الأول لكلمة المرور في عام 2017) ، قمنا بتحليل 29.5 مليار كلمة مرور (بما في ذلك غير الفريدة).

مصادر البيانات التي تم تحليلها بالنسبة لنا هي مجتمعات مختلفة تشارك في استعادة كلمات المرور من التجزئات (على سبيل المثال ، hashes.org ) ومنتديات الظل ، حيث يتم نشر تسريبات جماعية من كلمات المرور المشفرة (المستردة) وكلمات التجزئة المجزأة في الوصول المفتوح.

نحاول تعظيم تنظيف البيانات من "البيانات المهملة" (الإدخالات الفارغة والمكررة). نحدد ونستبعد كلمات المرور التي يتم إنشاؤها تلقائيًا (تلك التي لا يحددها المستخدمون أنفسهم ، ولكن بواسطة الخدمة التي سربت كلمات المرور نفسها هذه) ، وكذلك التسجيلات التلقائية الضخمة (عندما تبدأ الحسابات على خدمة أو أخرى تم تسريبها بواسطة روبوتات). يتم تحويل الأحرف السيريلية إلى ترميز واحد.

لعام 2019 ، يمكن ملاحظة التسريبات الرئيسية التالية (أكثر من 25 مليون زوج من كلمات المرور / تسجيل الدخول) التي وقعت في هذه الدراسة:

• خدمة الأنساب " MyHeritage " - 180 مليون
• MyFitnessPal ، تطبيق لمحاسبة اللياقة والتغذية - 49 مليون
• خدمة إنشاء فيديو سحابة Animoto - 40 مليون
• متجر لبيع الملابس على الإنترنت " Shein.com " - 31 مليون دولار
• بوابة التعليمية " Chegg " - 29 مليون دولار
• مطور ألعاب على الإنترنت Zynga - 26 مليون

أريد أن ألفت الانتباه إلى أن الأرقام الموجودة في القائمة أعلاه ليست بحجم التسرب المسموح به من قبل خدمة معينة ، ولكن عدد كلمات المرور المشفرة المتاحة في وقت هذه الدراسة. يمكن أن تحدث هذه التسريبات نفسها قبل عام 2019 ، ولكن فقط في عام 2019 أصبحت كلمات المرور المشفرة متاحة.

في وقت البحث في قاعدة بيانات كلمة المرور:

• إجمالي عدد كلمات المرور 4،883،711،954 (كان هناك 4،039،047،139)
• 779،281،749 كلمة مرور تحتوي على أرقام فقط (كان هناك 652،395،037)
• تحتوي كلمات المرور 1،275،706،800 فقط على أحرف (كان هناك 1،060،863،995)
• تحتوي كلمات مرور 13،696،084 على أحرف الأبجدية السيريلية (كانت 12،205،832)
• 159،948،243 كلمة مرور تحتوي على أحرف وأرقام وأحرف خاصة (كان هناك 129،628،109)
• تحتوي كلمات مرور 3،126،556،695 على 8 أحرف أو أكثر (كان هناك 2،604،395،502)

استنادًا إلى هذه البيانات ، تم تجميع "عرض الزيارات" التقليدي لكلمات المرور الخاصة بنا. تشير الأقواس إلى موقع التسجيل القديم في الأعلى (إذا كان قد وصل إليه سابقًا) ، بخط غامق (غامق) - إدخالات جديدة لم تدخل في الأعلى من قبل.

أكثر 10 كلمات مرور شيوعًا:

1. 123456
2. 123456789
3. مفاتيح QWERTY
4. 12345 (5)
5. كلمة المرور (4)
6. 12345678 (8)
7. qwerty123 (6)
8. 1q2w3e (7)
9. 111111
10. 1234567890

كما ترون ، لم تحدث تغييرات كبيرة في المراكز العشرة الأولى ، لكن بعض السجلات فقط غيرت الأماكن. ومن المثير للاهتمام ، لوحظ نفس الصورة بالضبط ضمن أول مائة كلمة مرور. التغيير الأكثر أهمية هو ظهور في نهاية المائة الأولى من كلمات المرور " zinch " و " princess " و " sunshine ".

وهكذا تبدو كلمات المرور العشر الأكثر شيوعًا من التسريبات لعام 2019 فقط:

1. 123456
2. 123456789
3. 12345
4. مفاتيح QWERTY
5. كلمة المرور
6. qwerty123
7. 1q2w3e
8. 12345678
9. 111111
10. 1234567890

من السهل ملاحظة أنه لا توجد اختلافات جوهرية مع كلمات مرور Top-10 العامة (انظر أعلاه).

أهم 10 كلمات مرور تحتوي على أحرف فقط:

1. مفاتيح QWERTY
2. كلمة المرور
3. QWERTYUIOP
4. QWERT
5. ILOVEYOU
6. zxcvbnm
7. غير معروف
8. قازوكس (7)
9. تنين (8)
10. قرد (9)

أهم 10 كلمات مرور تحتوي على أحرف وأرقام وأحرف خاصة:

1. Aa123456.
2. ) 4ever (1)
3. 1qaz @ WSX (2)
4. P @ ssw0rd (3)
5. p @ ssw0rd (5)
6. 123456 QQAqqa_ (4)
7. 1QAZ!
8. Spiritwear_2004
9. wowecarts @ 123 (6)
10. فيلم @ 123 (8)

10 كلمات مرور السيريلية الأكثر شعبية:

1. كلمة المرور (2)
2. يتسوكن (3)
3. أنا (1)
4. الحب
5. مرحبا
6. ناتاشا (7)
7. الحب (6)
8. حكمة
9. أندرو
10. الشمس

التغيير الأكثر أهمية هنا في المائة الأولى هو ظهور " مصاص دماء " في نهاية كلمة المرور.