Статистика используемых паролей пользователями в Российских компаниях

Прочитав как-то новость о том, что в России не проводилось глубокого исследования используемых пользователями паролей, я решил исправить сложившуюся ситуацию и стать первопроходцем:)

С полными результатами проведенного исследования можно ознакомиться в разделе "Аналитика" на официальном сайте Positive Technologies.

ЗЫ: Неоценимую помощь в проведении исследования и своими креативными идеями помогал мой руководитель по работе и просто позитивный человек – Сергей Гордейчик.


Краткие выводы проведенного исследования:

  • Результаты аналогичных исследований, проводимых за рубежом, отличаются от полученных результатов проведенного исследования в отношении используемых паролей российскими пользователями;
  • Наиболее распространенными паролями у российских пользователей являются пароли, состоящие только из цифр, на долю которых приходится приблизительно 53% от числа всех проанализированных паролей;
  • 88% используемых паролей – это пароли, содержащие в себе либо цифры, либо символы английского алфавита в нижнем регистре, либо и то и другое;
  • Используемые пароли российскими пользователями в большинстве случаев не превышают 8-ми символов и лишь единицы используют пароли длиннее 12-ти символов;
  • Удаленная атака по словарям позволяет скомпрометировать 37% учетных записей;
  • 74% используемых паролей пользователями в корпоративном секторе не соответствуют требованиям стандарта PCI DSS;
  • Администраторами информационных систем зачастую используются незамысловатые пароли низкой стойкости, которые могут содержаться в публично распространяемых словарях (15%), полностью совпадать с логином (10%) или вовсе отсутствовать (2%);
  • Используемые женщинами пароли, являются несколько более уязвимыми для атакующего, чем пароли, используемые мужчинами. Женщины в большей степени склонны к использованию словарных паролей, таких как имена, даты и пр. Благодаря более частому использованию словарных паролей удаленному злоумышленнику в среднем требуется меньше времени на их подбор.

TOP 50 наиболее часто используемых паролей:

  1. 1234567
  2. 12345678
  3. 123456
  4. <пустая строка>
  5. 12345
  6. 7654321
  7. qweasd
  8. 123
  9. qwerty
  10. 123456789
  11. 1234
  12. 7777777
  13. 111111
  14. 87654321
  15. 1111111
  16. 1
  17. 987654321
  18. 11111111
  19. 111
  20. 88888888
  21. 123321
  22. 1234567890
  23. 22222222
  24. 5555555
  25. 123123
  26. 9876543
  27. qaz
  28. 777
  29. 666
  30. 77777777
  31. 55555555
  32. consult
  33. 98765432
  34. 1111
  35. 33333333
  36. 3333333
  37. 666666
  38. 555555
  39. 2345678
  40. 2222222
  41. 11111
  42. qwert
  43. 55555
  44. 12345Ab
  45. 777777
  46. 99999999
  47. 9999999
  48. 23456789
  49. 8888888
  50. zxcvbnm

И небольшой видеоролик по теме:
Автор: от

10 комментариев :

  1. Анонимный22 июня 2009 г. в 17:57

    Странно, что в топе нет тривиала во вражеской раскладке (gfhjkm, ghbdtn и пр.), а есть consult и 12345Ab.

    ОтветитьУдалить
  2. Dmitry Evteev22 июня 2009 г. в 18:24

    gfhjkm (пароль) - входит в топ 100
    ghbdtn (привет) - входит в топ 500

    ОтветитьУдалить
  3. Ригель22 июня 2009 г. в 21:09

    Это хорошо - значит, статистика пристойная. Остался вопрос: откуда в топе такая редкость как 12345Ab? Подозреваю, что случай-то был единичный, просто в управлении у этого админа устройств было не одно. А тогда некорректно говорить о паролях, наиболее популярных у россиян, надо о популярности на российских хостах.

    ОтветитьУдалить
  4. Dmitry Evteev23 июня 2009 г. в 00:54

    >> откуда в топе такая редкость как 12345Ab
    посмотрел откуда пароль родом, действительно, источник был один...
    >> А тогда некорректно говорить о паролях, наиболее популярных у россиян
    почему некорректно? админ из России ведь:) к тому же, доля паролей админов во всей статистике, как капля в море....

    ОтветитьУдалить
  5. Sergey Gordeychik23 июня 2009 г. в 09:46

    В светлом будущем будем более внимательно относится к сбору, тщательней фиксировать источники (сетевое оборудование, службы каталога и т.д.), наличие парольной политики и другие факторы.

    Думаю, это позволит дать более интересные цифры.

    ОтветитьУдалить
  6. Dmitry Evteev14 октября 2009 г. в 19:50

    взгляд на проблему "слабых паролей", девушками с сайта Миссис-Рунет...))
    http://mrsrunet.ru/blogs/113341/2009/07/01/11676/index.html

    ОтветитьУдалить
  7. Лина16 октября 2009 г. в 14:05

    Ахах, один из них мой постоянный )))

    ОтветитьУдалить
  8. Dmitry Evteev16 октября 2009 г. в 15:46

    to Лина:
    Стало быть, пришло время пофантазировать на тему нового постоянного пароля:)

    ОтветитьУдалить
  9. Вадим24 мая 2011 г. в 09:54

    >>gfhjkm (пароль) - входит в топ 100
    >>ghbdtn (привет) - входит в топ 500
    а где эти топ-100 и топ-500 можно посмотреть?

    ОтветитьУдалить
  10. Dmitry Evteev26 мая 2011 г. в 11:27

    например тут

    ОтветитьУдалить