К концу года службы кибербезопасности делятся самыми слабыми паролями, обнаруженными в интернете за последние 12 месяцев. Некоторые из них очевидны - 12345678 - это ужасный пароль, который продолжает появляться, - но новый отчет о безопасности подчеркивает некоторые удивительные тенденции, которые ставят под сомнение то, что же на самом деле представляет собой хороший пароль.

Распространено мнение, что более длинный пароль более надежен, чем более короткий. Но это не всегда верно. Сотрудники Specsops, крупного поставщика решений для управления паролями и аутентификации со штаб-квартирой в Швеции выпустили отчет основанный на "опросах и анализе данных о 800 миллионах взломанных паролей и более чем 3 миллиардах проанализированных паролей в списке Specops Breached Password Protection"

93 процента паролей, взломанных при хакерских атаках методом грубой силы, содержат восемь или более символов. Также было обнаружено, что 41 процент паролей взломанных при атаках методом грубой силы состоял из 12 символов и более, что является минимальной длиной требуемой многими организациями.

"Злоумышленники хорошо осведомлены о рекомендациях стандартов и требованиях к паролям, которые компании используют для борьбы с этими атаками. Эти данные показывают, что злоумышленники скорректировали свою тактику, включив в нее более длинные пароли", - говорится в отчете.

Вот список 10 самых популярных паролей, взломанных при атаках методом грубой силы, по крайней мере с 12 символами:

1. ^_^$$wanniMaBl: 1433 vl
2. almanlinux8svm
3. dbname=template0
4. shabixuege!@#
5. @$$W0rd0123
6. P@ssw0rd5tgb
7. adminbigdata
8. Pa$$w0rdp!@#
9. adm1nistrator1
10. administrator!@#$

Хотя все 10 паролей относительно длинные и сложные, они также скомпрометированы и являются вариантами элементарных паролей. Простое добавление комбинации букв, символов, прописных и строчных букв недостаточно, если сам пароль представляет собой разновидность общего слова, такого как "password" или "administrator", как указано в списке.

Отчет также глубоко проанализировал коллекцию паролей, известную как "rockyou2021". Согласно отчету, набор данных имеет тенденцию к более длинным паролям, что по словам Specsops требует принудительного применения либо трудных для запоминания более длинных паролей, чтобы избежать конфликтов со списком слов, либо использования парольных фраз.

Вот анализ типов этих паролей:

Приведенный выше анализ указывает на то, что добавление большей части RockYou2021 в список ненадежных паролей не требуется, поскольку 95% из них достаточно надежны. 

Еще очень не рекомендуется создавать пароль на основе темы или шаблона, например, времен года, музыкантов, спортивных команд, фильмов и телешоу. Хакеры нацелены на темы поп-культуры при попытке взломать пароль, поэтому например "darthvader" и "spiderman" - ужасные пароли, которые возглавляют различные списки. Даже если сделать их более сложными, как обсуждалось ранее, этого все равно недостаточно. Это особенно верно, если кто-то повторно использует пароль для нескольких сайтов.

"Усложнение паролей приводит к тому, что людям трудно их запомнить. Пока люди повторно используют пароли на разных аккаунтах, повышение их безопасности сводится к запрету использования всех известных скомпрометированных паролей", - сообщает Specops.

Везде где это возможно, настоятельно рекомендуется включать двухфакторную аутентификацию в качестве дополнительного уровня защиты.