За год, прошедший с прошлого исследования, мы проанализировали более 250 млн новых уникальных учетных записей (пары электронная почта/пароль).

В текущем отчете проанализировано 5,36 млрд уникальных учетных записей. Основной упор, как и прежде, делался на пароли, как на наиболее интересную сущность для исследования.

Хочется отметить, что, начиная с самого первого нашего исследования в 2017 году, всего было проанализировано 35,5 млрд учетных записей, включая не уникальные.

Источниками анализируемых данных для нас служат различные сообщества, занимающиеся восстановлением паролей из хешей (например, hashmob.net) и теневые форумы, где в открытый доступ выкладываются массовые утечки.

Мы очищаем данные от «мусора» (пустых и повторяющихся записей). Выявляем и дисквалифицируем автоматически сгенерированные пароли (те, которые устанавливают не пользователи сами, а сервис, допустивший утечку этих самых паролей), а также массовые автоматические регистрации (когда учетные записи на том или ином сервисе, допустившем утечку, заводятся ботами). Кириллические символы приводятся к единой кодировке.

В 2021 году следующие крупные утечки (свыше 20 млн учетных записей) попали в это исследование:

— P2P-сеть для обмена файлами imesh.com – 44 млн

— китайский литературный ресурс readnovel.com – 42 млн

— сервис анонимных вопросов и ответов sprashivai.ru – 25 млн

— онлайн-сообщество писателей и читателей wattpad.com – 23 млн

— сервис создания онлайн-викторин dailyquiz.me – 22 млн

Обращаем внимание, что цифры в списке выше, это не размер утечки, допущенной тем или иным сервисом, а количество учетных записей, доступных на момент данного исследования. Сами эти утечки могли происходить и раньше 2021 года, однако только в 2021 году они стали доступны для анализа.

Кстати, следить за обновлениями «коллекции» паролей можно через авторский Telegram-канал «Утечки информации».

На момент исследования в базе паролей:

•             5,362,581,573 всего паролей (было 5,108,611,469)

•             894,691,158 паролей содержат только цифры (было 848,134,618)

•             1,380,701,190 паролей содержат только буквы (было 1,335,889,957)

•             14,470,812 паролей содержат буквы кириллического алфавита (было 13,381,165)

•             195,647,440 паролей содержат буквы, цифры и спецсимволы (было 171,246,021)

•             3,472,273,173 паролей содержат 8 и более символов (было 3,300,865,676)

•             890,164,009 паролей содержат более 10 символов (было 840,680,047)

•             1,139,217,369 паролей содержат менее 7 символов (было 1,091,415,435)

Взяв за основу эти данные, нами был составлен традиционный «хит-парад» паролей и логинов. В скобках указывается старое место записи в топе (если она в него попадала ранее), зеленым цветом – новые записи, которые не попадали в топ ранее.

25 самых популярных паролей за все время:

  1. 123456
  2. 123456789
  3. qwerty123 (7)
  4. qwerty (3)
  5. 12345 (4)
  6. qwerty1
  7. password (5)
  8. 12345678 (6)
  9. 1q2w3e (8)
  10. 111111 (9)
  11. 123123 (10)
  12. 1234567 (11)
  13. 1234567890 (12)
  14. 000000 (13)
  15. 1234 (16)
  16. 123321 (15)
  17. qwertyuiop (14)
  18. abc123 (17)
  19. 654321 (18)
  20. 666666 (19)
  21. 1q2w3e4r5t (20)
  22. 7777777 (21)
  23. 123 (25)
  24. password1 (22)
  25. iloveyou (23)

Можно заметить, что на 6-м месте появился пароль «qwerty1», а пароль «123123» вылетел из десятки и попал на 11-е место. Пароль «555555» (ранее 24 место) теперь находится за пределами рейтинга и занимает 27 место.

А вот так выглядят 10 самых популярных паролей из утечек только за 2021 год:

  1. qwerty123
  2. qwerty1
  3. 123456 (1)
  4. a11111
  5. 123456789 (2)
  6. 111111 (3)
  7. 112233
  8. 12345678 (5)
  9. 12345 (7)
  10. 000000 (9)

С этого года мы решили начать публиковать отдельные топы по паролям для учетных записей в доменных зонах .ru и .рф. Всего было проанализировано 1,483,586,769 учетных записей из зоны «РУ».

25 самых популярных паролей зоны «РУ» за все время:

  1. 123456
  2. qwerty
  3. 123456789
  4. 12345
  5. qwerty123
  6. 1q2w3e
  7. password
  8. 12345678
  9. 111111
  10. 1234567890
  11. 1234567
  12. 123123
  13. qwertyuiop
  14. 123321
  15. 1q2w3e4r5t
  16. 000000
  17. 666666
  18. 7777777
  19. asdasd
  20. 555555
  21. 654321
  22. qwe123
  23. 1q2w3e4r
  24. zxcvbnm
  25. 123qwe

10 самых популярных паролей зоны «РУ» из утечек (30,234,882 записей) только за 2021 год:

  1. qwerty123
  2. qwerty1
  3. 123456
  4. asdasd
  5. 12345
  6. 123456789
  7. asdasd123
  8. 12345678
  9. qwerty
  10. 123321

Видно, что никакой принципиальной разницы между паролями зоны «РУ» и всеми остальными – нет.

10 самых популярных паролей, содержащих только буквы:

  1. qwerty123
  2. qwerty1
  3. 123456 (1)
  4. a11111
  5. 123456789 (2)
  6. 111111 (3)
  7. 112233
  8. 12345678 (5)
  9. 12345 (7)
  10. 000000 (9)

В данном топе никаких изменений за год не произошло.

10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:

  1. 1qaz@WSX
  2. P@ssw0rd
  3. p@ssw0rd
  4. 1qaz!QAZ
  5. !QAZ2wsx
  6. Password1! (7)
  7. !QAZ1qaz
  8. abc123! (10)
  9. Pa$$w0rd (6)
  10. pass@123

10 самых популярных кириллических паролей:

  1. йцукен
  2. пароль
  3. любовь (4)
  4. привет (5)
  5. наташа (6)
  6. максим (7)
  7. марина (9)
  8. люблю
  9. андрей (10)
  10. кристина

Пароль «я» (ранее 3 место), бывший в списке кириллических паролей прошлогоднего рейтинга, был нами дисквалифицирован в этом году.

Теперь что касается адресов электронной почты, являющихся логинами.

10 самых популярных доменов:

  1. gmail.com (2)
  2. yahoo.com (1)
  3. hotmail.com
  4. mail.ru
  5. rambler.ru
  6. yandex.ru
  7. ya.ru
  8. qq.com
  9. aol.com
  10. bk.ru

На долю сервисов Mail.ru и Yahoo приходится по 14% всех утекших адресов электронной почты, попавших в наше исследование. На сервисы Gmail и Hotmail приходится по 12%. На Яндекс — 6.4%, а на Рамблер — 4%.

10 самых популярных имен:

  1. info
  2. admin
  3. office
  4. mail
  5. contact
  6. sales
  7. adam
  8. webmaster
  9. john
  10. chris

В данном топе никаких изменений за год не произошло.

В заключении хочется отметить, что большой проблемой остается то, что многие сервисы, в которых пользователи регистрируются с собственным паролем, используют для его хранения устаревшие ( «слабые») алгоритмы хеширования, а некоторые даже хранят пароли в открытом (текстовом) виде. Кроме того, значительная часть пользователей достаточно легкомысленно относится к используемым паролям, и за прошедший год ни доля сложных (содержащих буквы, цифры и спецсимволы), ни доля длинных (более 10 символов) паролей практически не изменилась, оставшись на уровне 3,5% для первых и 16,5% для вторых.