去年,在DeviceLock,我们分析了泄露的密码 。 那时,在我们的“密码”集合中,大约有40亿个唯一的登录名/密码对。 自上次研究以来,“收藏集”得到了将近9亿个新的唯一登录名和密码的补充。 顺便说一句,您可以通过我自己的电报频道“ 信息泄漏 ”来跟踪密码“集合”的更新。
是时候进行新的研究了。 走吧...
该研究包括大约49亿个唯一的登录名/密码对。 在这种情况下,登录被理解为电子邮件地址。 那些使用电子邮件地址以外的用户名作为登录名的夫妇将被取消参赛资格,并且不会影响研究结果。
另外,我注意到,从2017年首次密码研究开始,我们一直都在分析295亿个密码(包括非唯一密码)。
对我们来说,分析数据的来源是参与从哈希(例如hashes.org )和影子论坛中恢复密码的各个社区,在这些论坛中,已解密(已恢复)和哈希密码的大量泄漏以开放访问的方式发布。
我们试图最大程度地清除“垃圾”中的数据(空条目和重复条目)。 我们识别并取消自动生成的密码(不是由用户自己设置的密码,而是由泄露这些相同密码的服务设置的密码)以及大量自动注册(当由某漫游程序启动的一项或另一项服务的帐户被启动时)。 西里尔字母转换为单一编码。
对于2019年,可以注意到该研究涉及以下主要漏洞(超过2500万个登录名/密码对):
- 家谱服务“ MyHeritage ” -1.8亿
- MyFitnessPal ,健身和营养会计应用程序-4,900万
- Animoto云视频创建服务-4000万
- 在线服装店“ Shein.com ” -3100万
- 教育门户网站“ Chegg ” -2900万
- 在线游戏开发商Zynga -2600万
我想提请注意以下事实:上面列表中的数字不是特定服务允许的泄漏大小,而是在进行此研究时可用的解密密码数量。 这些泄漏本身可能在2019年之前发生,但只有在2019年才能使用解密的密码。
在研究密码数据库时:
- 总密码4,883,711,954(有4,039,047,139)
- 779,281,749个密码仅包含数字(共有652,395,037个)
- 1,275,706,800个密码仅包含字母(共有1,060,863,995个)
- 13,696,084个密码包含西里尔字母(是12,205,832个)
- 159,948,243个密码包含字母,数字和特殊字符(共有129,628,109个)
- 3,126,556,695个密码包含8个或更多字符(共有2,604,395,502个)
根据这些数据,我们编译了传统的密码“命中游行”。 括号中的旧记录位置位于顶部(如果较早进入),以粗体显示(粗体)-以前未进入顶部的新条目。
10种最流行的密码:
- 123456
- 123456789
- qwerty
- 12345(5)
- 密码(4)
- 12345678(8)
- qwerty123(6)
- 1q2w3e(7)
- 111111
- 1234567890
如您所见,前十名中没有发生重大变化,只有一些记录的位置发生了变化。 有趣的是,在前一百个密码中可以看到完全相同的图片。 最重要的变化是在密码“ zinch ”,“ 公主 ”和“ 阳光 ”的前一百个字尾出现 。
这就是仅2019年泄露的10种最受欢迎的密码的样子:
- 123456
- 123456789
- 12345
- qwerty
- 密码
- qwerty123
- 1q2w3e
- 12345678
- 111111
- 1234567890
很容易注意到,与通用的Top-10(请参见上文)密码没有根本区别。
仅包含字母的10种最受欢迎的密码:
- qwerty
- 密码
- qwertyuiop
- qwert
- 爱你
- zxcvbnm
- 不明
- qazwsx(7)
- 龙(8)
- 猴子(9)
包含字母,数字和特殊字符的10种最受欢迎的密码:
- Aa123456。
- )4ever(1)
- 1qaz @ WSX(2)
- P @ ssw0rd(3)
- p @ ssw0rd(5)
- 123456QQAqqa_(4)
- 1qaz!QAZ
- Spiritwear_2004
- wowecarts @ 123(6)
- 胶卷@ 123(8)
10种最流行的西里尔密码:
- 密码(2)
- ytsuken(3)
- 我(1)
- 爱
- 你好
- 娜塔莎(7)
- 爱(6)
- 格言
- 安德鲁
- 太阳
在这里,前一百位中最重要的变化是在密码的最后出现了“ 吸血鬼 ”。