Анализ паролей пользователей ВКонтакте (поправка)

Как это часто бывает, поспешные выводы могут не учитывать некоторых деталей, которые в свою очередь приводят к некорректным умозаключениям. После комментария в предыдущем посте мне ничего не остается, как признать, что не заметил очевидных вещей – используемую парольную политику "ВКонтакте". А она следующая: "Пароль должен быть не менее 6 символов в длину и не должен состоять только из цифр, либо содержать недопустимые символы". Какие символы являются недопустимыми, можно только догадываться. Но, по всей видимости, это непечатные символы ASCII.


Таким образом, учитывая указанные ограничения, результаты будут несколько иными. Общий объем "правильных" учетных записей из всего списка утекших данных "ВКонтакте" составляет всего 40282 позиции. Корректные результаты по используемому набору символов получены следующие:


А так выглядит график по длине используемых паролей:


ЗЫ: самым длинным паролем оказался пароль длинной в 68 символов; также порадовали пароли вида "you_have_been_hacked_XXXXXXXXXX" :)

И "правильный" TOP 20 наиболее распространенных паролей пользователей "ВКонтакте" примет следующий вид:

  1. qwerty
  2. zxcvbnm
  3. любовь
  4. qwertyuiop
  5. qazwsxedc
  6. gfhjkm
  7. master
  8. 1q2w3e4r
  9. samsung
  10. qesfxv0607qes
  11. 1q2w3e
  12. zxcvbn
  13. natasha
  14. ятебялюблю
  15. qazwsx
  16. екатерина
  17. пароль
  18. asdfghjkl
  19. knopka
  20. pokemon


PS: спасибо анонимному пользователю за соответствующий комментарий!

5 комментариев :

  1. Ну и совершенно напрасно вы выкинули пароли из одних цифр. Пересчитывать не стоило.

    При создании новых аккаунтов они на данный момент все еще допускаются - проверьте. Мне только что удалось создать аккаунт с паролем 666666.

    Выдается предупреждение, да, но оно носит рекомендательный характер. Вот через раздел настроек изменить на цифровой нельзя, это верно.

    ОтветитьУдалить
  2. Ну и есть способ задать пароли менее 6 символов. Но об этом уже читайте в понедельник-вторник. :-)))

    ОтветитьУдалить
  3. ...есть еще мнение, что в фишинг-лог могли попасть брутфорсы акков....

    ОтветитьУдалить
  4. Насколько я понимаю, брутфорс подразумевал бы более солидную долбежку, чем по три попытки на рыло.

    ОтветитьУдалить
  5. не всегда. как раз долбежка по три попытки может быть гораздо разумнее, чем "тяжелый брут" с закрытыми глазами.....

    ОтветитьУдалить