Co jakiś czas słyszymy o wycieku danych (np. loginów i haseł) z serwisu internetowego i podreślamy wagę szyfrowania haseł po stronie serwera silnym algorytmem. Czasami może jednak zdarzyć się, że dane wyjdą z firmy w zupełnie niesztampowy sposób i tak było w przypadku serwisu Youporn: To było naprawdę „głębokie ukrycie”. Od kilku lat wszystkie dane nowych użytkowników YouPorn,.com były zapisywane w logach dostępnych w katalogu /tmp. Ewidentne przewinienie osoby technicznej poskutkowało wyciekiem masy danych (także osobowych) o użytkownikach ale oczywiście nas najbardziej interesują hasła.
Zrobiłem na szybko drobne podsumowanie danych dotyczących haseł zawartych w tym zbiorze. Zalogowano hasła od 2008.01.30 do 2010.11.09 w ogólnej liczbie 5 082 659. Haseł niepowtarzalnych haseł jest 783 931. Z tych prawie ośmiuset tysięcy haseł 61 823 zawiera przynajmniej jedną duża literę, 475 378 zawiera minimum jedną cyfrę, 35 378 zawiera minimum jedną cyfrę i minimum jedną dużą literę. Ciąg 12 zawarty jest w 52 514 hasłach, ciąg 123 w 23 766, ciąg 1234 w 7 366, ciąg 12345 w 3 804. Jest i polski akcent ;] gdyż 35 haseł zawiera słowo dupa zawsze pisane z małej litery oraz 29 haseł zawierających słowo seks (w tym dwa hasła z użyciem dużej litery). Haseł zawierających znaki specjalne (inne niż małe/duże litery lub cyfry) było 25 540 (jakieś 3%).
Każdorazowo przy takich wyciekach pojawia się dyskusja na temat tego na ile użytkownicy do tak mało ważnych serwisów są świadomi zagrożeń używania prostego hasła i wybierają takie hasła, które są bardzo popularne, a w przypadku ważnych serwisów na pewno korzystają haseł skomplikowanych. Jak uważacie?
Poniżej tabela najczęściej pojawiających się haseł z liczbą ich wystąpień:
1 138576 2.73% 123456
2 37277 0.73% 123456789
3 24705 0.49% 12345
4 16941 0.33% 1234
5 13126 0.26% password
6 12331 0.24% 123
7 11305 0.22% 12345678
8 10641 0.21% qwerty
9 10009 0.20% 1234567
10 8163 0.16% 111111
11 7334 0.14% 123123
12 7166 0.14% 000000
13 7130 0.14% sex
14 6740 0.13% youporn
15 6375 0.13% 1234567890
16 4407 0.09% 654321
17 4299 0.08% pussy
18 3934 0.08% 666666
19 3767 0.07% ficken
20 3329 0.07% iloveyou
21 3228 0.06% fuckyou
22 3143 0.06% liverpool
23 3042 0.06% fuckme
24 2910 0.06% abc123
25 2879 0.06% 0000
26 2845 0.06%
27 2819 0.06% fuck
28 2794 0.05% 123321
29 2752 0.05% lol
30 2749 0.05% 1111
31 2702 0.05% azerty
32 2683 0.05% hallo
33 2665 0.05% sexy
34 2639 0.05% 121212
35 2633 0.05% asdf
36 2439 0.05% asdfghjkl
37 2312 0.05% asdfgh
38 2309 0.05% football
39 2234 0.04% aaaaaa
40 2182 0.04% 987654321
41 2155 0.04% qwertyuiop
42 2132 0.04% killer
43 2106 0.04% superman
44 2074 0.04% zxcvbnm
45 2073 0.04% asdasd
46 2035 0.04% 112233
47 1995 0.04% love
48 1952 0.04% daniel
49 1910 0.04% horny
50 1908 0.04% master
7 komentarzy do
23 lutego, 2012 o godzinie 17:03
Coś przekombinowałeś z tymi logami. Skąd ci sie 5 miliionów wzięło?
chyba nie wziołeś pod uwagę to ze w logach wielokrotnie te same dane się pojawiały wraz z tymi samymi hasłami.
24 lutego, 2012 o godzinie 00:10
Bardzo skomplikowane te hasełka..
W dodatku już od 3 znaków
24 lutego, 2012 o godzinie 13:14
@FoldPage
Zważając na tematykę strony to hasło nie musi być skomplikowane. Ja też na kilku stronach mam proste(może nie, aż tak) hasła i nie zależy mi bo i tak nic ciekawego z tym dalej nie zrobią. Ustawianie prostego hasła na takim portalu jak YP jest naturalne, mocne hasło jest zbędne. Bo kto chciałby się włamywać na konto YP? :D
26 lutego, 2012 o godzinie 17:38
„Bo kto chciałby się włamywać na konto YP?”
Np. nieprzychylna osoba aby kogoś zdyskredytować. Wyobraź sobie, że jesteś politykiem i korzystasz z Youporna. Ktoś włamuje się na stronę i publikuje twoje dane. Później wychodzi, że polityk porno ogląda. Mi by to nie przeszkadzało – nie interesuje mnie prywatne życie osób publicznych ale ciemnogród szybko temat łyknie.
13 marca, 2012 o godzinie 09:52
Naprawdę nie potrafię zrozumieć głupoty ludzi…
29 marca, 2012 o godzinie 22:47
mógłbym spytać jakim programem można robic takie statystyki?
dzięki
2 października, 2013 o godzinie 03:59
po co komu hasla jak maja w DB zapisane ich karty kredytowe, 5 milionow? troche ciezko uwiezyc bo by glosniej o tym bylo. Ale sam fakt ze nawet 100.000 kart to juz mozna stac sie milionerem ;)