С помощью приложения Application Defense Center (ADC) исследователи проанализировали «силу» всех паролей в базе и выявили те из них, которые используются чаще всего, а значит, являются наименее безопасными для применения в социальных сетях или сайтах платежных систем.
Наиболее часто используемыми паролями признали: «123456», «12345», «123456789», «Password», «iloveyou», «princess», «rockyou», «1234567», «12345678» и «abc123». Cамым популярным паролем оказался «123456». «Все пользователи должны понимать, что означает комбинация «слабых» паролей в современном мире автоматизированных кибератак: приложив минимальные усилия, хакеры получают доступ к одному новому аккаунту каждую секунду, или 1 тыс. учетных записей каждые 17 мин.», — отметил Амихай Шульман (Amichai Shulman), технический директор Imperva.
Технический директор Imperva Амихай Шульман:
- Эта база паролей позволила нам провести уникальный анализ того, как пользователи выбирают пароли, и оценить истинную силу пароля в качестве механизма безопасности. Никогда раньше в свободном доступе не появлялось такое большое количество паролей, на базе которых можно было провести подобное исследование.
Как отмечают авторы отчета, многие пользователи выбирают максимально короткие и простые пароли, что автоматически подвергает их риску стать жертвой кибератак, известных как «полный перебор» или метод «грубой силы» (от английского brute force). Около половины всех пользователей Rockyou.com в качестве пароля использовали имена людей, сленговые слова, слова из словаря или наиболее тривиальные пароли (последовательный набор цифр, стоящие рядом клавиши клавиатуры и т.п.). «Часто работники могут использовать на своем рабочем аккаунте тот же пароль, который стоит у них в социальной сети Facebook, что значительно повышает риск взлома корпоративной системы, особенно если этот человек использует легко подбираемый пароль в стиле «123456», — говорит Шульман.
Он также подчеркнул, что за последние 20 лет набор паролей изменился очень незначительно. Аналогичное исследование в ОС Unix, проведенное в 1990 г. показало примерно то же, что и сейчас. «Пора всем начать подходить к вопросу безопасности паролей серьезно, это первый очень важный шаг в защите личных данных», — добавил технический директор.
