每142个密码中就有一个是“123456”

2020-07-03 00:57:34

在这类最大的密码重用研究中,一项对10多亿个泄露的凭证的分析发现,每123456个密码中就有一个是经典的字符串。

这项研究由计算机工程专业的学生Ata Hakçıl于上个月进行,分析了在多家公司的数据泄露后在网上泄露的用户名和密码组合。

这些数据转储已经存在了五年多,随着新公司遭到黑客攻击,这些数据堆积如山。

这些数据转储很容易在网上、在GitHub或GitLab等网站上获得,也可以通过黑客论坛和文件共享门户免费分发。

多年来,科技公司一直在收集这些数据转储。例如,谷歌(Google)、微软(Microsoft)和苹果(Apple)收集了泄露的凭据,创建了内部警报系统,当用户使用弱密码或普通密码时,该系统会发出警告。

此外,Have I be Pwned在线服务也可以处理这些泄露的数据转储和凭据。

上个月,在塞浦路斯一所大学学习的土耳其学生Hakçıl下载并分析了超过10亿份泄露的凭据。

主要发现是,1,000,000,000+凭据数据集仅包含168,919个唯一密码,其中700多万个密码是字符串";123456";。

这意味着,在分析的示例Hakçıl中,每142Password中就有一个是目前已知的最弱的密码--字符串";123456";是过去五年中最常在网上重复使用的密码,而且还在不断增加。

此外,Hakçıl还发现,密码的平均长度通常为9.48个字符,这不是很好,但也不可怕,因为大多数安全专家建议使用尽可能长的密码,通常在16到24个字符或更长的范围内。

但是密码长度并不是Hakçıl发现的唯一问题。这位土耳其研究人员表示,密码复杂性也是一个问题,只有12%的密码包含特殊字符。

在大多数情况下,用户选择简单的密码,如只使用字母(29%)或数字(13%)。这意味着包含在10亿个数据集中的所有密码中约有42%容易受到快速字典攻击,这将使威胁攻击者无需任何努力或技术困难即可访问帐户。

从1.000.000.000多行转储中,257.669.588被过滤为损坏的数据(格式不正确的胡言乱语)或测试帐户。

最常见的密码是123456。它覆盖了大约0.722%的所有密码。(约700万次/十亿)。

最常见的100万个密码的命中率为36.28%,最常见的1000万个密码的命中率为54.00%。

34.41%的密码以数字结尾,但只有4.522%的密码以数字开头。