L'année dernière, chez DeviceLock, nous avons analysé les mots de passe divulgués . À cette époque, dans notre «collection» de mots de passe, il y avait environ 4 milliards de paires identifiant / mot de passe uniques. Depuis la dernière étude, la «collection» a été reconstituée avec près de 900 millions de nouveaux identifiants et mots de passe uniques. Soit dit en passant, vous pouvez suivre les mises à jour de la «collection» de mots de passe via ma propre chaîne Telegram « Information Leaks ».
Le temps est venu pour une nouvelle étude. Allons-y ...
L'étude comprenait environ 4,9 milliards de paires identifiant / mot de passe uniques. Dans ce cas, la connexion est considérée comme une adresse e-mail. Les couples dans lesquels un nom d'utilisateur autre qu'une adresse e-mail a été utilisé comme identifiant ont été disqualifiés et n'ont pas affecté le résultat de l'étude.
Séparément, je note que pour tout le temps (à partir de la toute première recherche de mots de passe en 2017), nous avons analysé 29,5 milliards de mots de passe (y compris non uniques).
Les sources des données analysées pour nous sont diverses communautés impliquées dans la récupération de mots de passe à partir de hachages (par exemple, hashes.org ) et de forums virtuels , où des fuites massives de mots de passe déchiffrés (récupérés) et hachés sont publiées en accès libre.
Nous essayons de maximiser le nettoyage des données des «ordures» (entrées vides et en double). Nous identifions et disqualifions les mots de passe générés automatiquement (ceux qui ne sont pas définis par les utilisateurs eux-mêmes, mais par le service qui a permis la fuite de ces mêmes mots de passe), ainsi que les enregistrements automatiques massifs (lorsque les comptes sur l'un ou l'autre service qui a provoqué la fuite sont démarrés par des bots). Les caractères cyrilliques sont convertis en un seul codage.
Pour 2019, les principales fuites suivantes (plus de 25 millions de paires login / mot de passe) qui sont tombées dans cette étude peuvent être notées:
- service de généalogie " MyHeritage " - 180 millions
- MyFitnessPal , une application pour la comptabilité du fitness et de la nutrition - 49 millions
- Service de création de vidéos dans le cloud Animoto - 40 millions
- magasin de vêtements en ligne " Shein.com " - 31 millions
- portail éducatif " Chegg " - 29 millions
- développeur de jeux en ligne Zynga - 26 millions
Je veux attirer l'attention sur le fait que les chiffres dans la liste ci-dessus ne sont pas la taille de la fuite autorisée par un service particulier, mais le nombre de mots de passe décryptés disponibles au moment de cette étude. Ces fuites pourraient se produire avant 2019, mais ce n'est qu'en 2019 que des mots de passe déchiffrés sont devenus disponibles.
Au moment de la recherche dans la base de données de mots de passe:
- 4 883 711 954 mots de passe au total (il y avait 4 039 047 139)
- 779 281 749 mots de passe ne contiennent que des chiffres (il y en avait 652 395 037)
- 1 275 706 800 mots de passe ne contiennent que des lettres (il y en avait 1 060 863 995)
- 13 696 084 mots de passe contiennent les lettres de l'alphabet cyrillique (il était 12 205 832)
- 159 948 243 mots de passe contiennent des lettres, des chiffres et des caractères spéciaux (il y en avait 129 628 109)
- 3 126 556 695 mots de passe contiennent 8 caractères ou plus (il y avait 2 604 395 502)
Sur la base de ces données, notre traditionnel «hit parade» de mots de passe a été compilé. Entre parenthèses, indiquez l'ancien emplacement d'enregistrement en haut (s'il y est entré plus tôt), en gras (gras) - les nouvelles entrées qui n'étaient pas entrées en haut auparavant.
10 mots de passe les plus populaires:
- 123456
- 123456789
- qwerty
- 12345 (5)
- mot de passe (4)
- 12345678 (8)
- qwerty123 (6)
- 1q2w3e (7)
- 111111
- 1234567890
Comme vous pouvez le voir, aucun changement significatif dans les dix premiers n'est survenu, seuls certains des enregistrements ont changé de place. Fait intéressant, la même image exacte est observée dans les cent premiers mots de passe. Le changement le plus significatif est l'apparition à la fin de la première centaine de mots de passe « zinch », « princesse » et « soleil ».
Et voici à quoi ressemblent les 10 mots de passe les plus populaires contre les fuites pour seulement 2019:
- 123456
- 123456789
- 12345
- qwerty
- mot de passe
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
Il est facile de remarquer qu'il n'y a pas de différences fondamentales avec les mots de passe généraux du Top 10 (voir ci-dessus).
Les 10 mots de passe les plus populaires ne contenant que des lettres:
- qwerty
- mot de passe
- qwertyuiop
- qwert
- iloveyou
- zxcvbnm
- inconnu
- qazwsx (7)
- dragon (8)
- singe (9)
Les 10 mots de passe les plus populaires contenant des lettres, des chiffres et des caractères spéciaux:
- Aa123456.
- ) 4ever (1)
- 1qaz @ WSX (2)
- P @ ssw0rd (3)
- p @ ssw0rd (5)
- 123456QQAqqa_ (4)
- 1qaz! QAZ
- Spiritwear_2004
- wowecarts @ 123 (6)
- film @ 123 (8)
10 mots de passe cyrilliques les plus populaires:
- mot de passe (2)
- ytsuken (3)
- moi (1)
- l'amour
- salut
- natasha (7)
- amour (6)
- maxime
- Andrew
- le soleil
Ici, le changement le plus significatif dans les cent premiers est l'apparition d'un « vampire » à la toute fin du mot de passe.