Анализ более 5,3 млрд утекших учетных записей и паролей за 2021 год.

За год, прошедший с прошлого исследования, мы проанализировали более 250 млн новых уникальных учетных записей (пары электронная почта/пароль).

В текущем отчете проанализировано 5,36 млрд уникальных учетных записей. Основной упор, как и прежде, делался на пароли, как на наиболее интересную сущность для исследования.

Хочется отметить, что, начиная с самого первого нашего исследования в 2017 году, всего было проанализировано 35,5 млрд учетных записей, включая не уникальные.

Источниками анализируемых данных для нас служат различные сообщества, занимающиеся восстановлением паролей из хешей (например, hashmob.net) и теневые форумы, где в открытый доступ выкладываются массовые утечки.

Мы очищаем данные от «мусора» (пустых и повторяющихся записей). Выявляем и дисквалифицируем автоматически сгенерированные пароли (те, которые устанавливают не пользователи сами, а сервис, допустивший утечку этих самых паролей), а также массовые автоматические регистрации (когда учетные записи на том или ином сервисе, допустившем утечку, заводятся ботами). Кириллические символы приводятся к единой кодировке.

В 2021 году следующие крупные утечки (свыше 20 млн учетных записей) попали в это исследование:

— P2P-сеть для обмена файлами imesh.com – 44 млн

— китайский литературный ресурс readnovel.com – 42 млн

— сервис анонимных вопросов и ответов sprashivai.ru – 25 млн

— онлайн-сообщество писателей и читателей wattpad.com – 23 млн

— сервис создания онлайн-викторин dailyquiz.me – 22 млн

Обращаем внимание, что цифры в списке выше, это не размер утечки, допущенной тем или иным сервисом, а количество учетных записей, доступных на момент данного исследования. Сами эти утечки могли происходить и раньше 2021 года, однако только в 2021 году они стали доступны для анализа.

Кстати, следить за обновлениями «коллекции» паролей можно через авторский Telegram-канал «Утечки информации».

На момент исследования в базе паролей:

• 5,362,581,573 всего паролей (было 5,108,611,469)

• 894,691,158 паролей содержат только цифры (было 848,134,618)

• 1,380,701,190 паролей содержат только буквы (было 1,335,889,957)

• 14,470,812 паролей содержат буквы кириллического алфавита (было 13,381,165)

• 195,647,440 паролей содержат буквы, цифры и спецсимволы (было 171,246,021)

• 3,472,273,173 паролей содержат 8 и более символов (было 3,300,865,676)

• 890,164,009 паролей содержат более 10 символов (было 840,680,047)

• 1,139,217,369 паролей содержат менее 7 символов (было 1,091,415,435)

Взяв за основу эти данные, нами был составлен традиционный «хит-парад» паролей и логинов. В скобках указывается старое место записи в топе (если она в него попадала ранее), зеленым цветом – новые записи, которые не попадали в топ ранее.

25 самых популярных паролей за все время:

123456
123456789
qwerty123 (7)
qwerty (3)
12345 (4)
qwerty1
password (5)
12345678 (6)
1q2w3e (8)
111111 (9)
123123 (10)
1234567 (11)
1234567890 (12)
000000 (13)
1234 (16)
123321 (15)
qwertyuiop (14)
abc123 (17)
654321 (18)
666666 (19)
1q2w3e4r5t (20)
7777777 (21)
123 (25)
password1 (22)
iloveyou (23)

Можно заметить, что на 6-м месте появился пароль «qwerty1», а пароль «123123» вылетел из десятки и попал на 11-е место. Пароль «555555» (ранее 24 место) теперь находится за пределами рейтинга и занимает 27 место.

А вот так выглядят 10 самых популярных паролей из утечек только за 2021 год:

qwerty123
qwerty1
123456 (1)
a11111
123456789 (2)
111111 (3)
112233
12345678 (5)
12345 (7)
000000 (9)

С этого года мы решили начать публиковать отдельные топы по паролям для учетных записей в доменных зонах .ru и .рф. Всего было проанализировано 1,483,586,769 учетных записей из зоны «РУ».

25 самых популярных паролей зоны «РУ» за все время:

123456
qwerty
123456789
12345
qwerty123
1q2w3e
password
12345678
111111
1234567890
1234567
123123
qwertyuiop
123321
1q2w3e4r5t
000000
666666
7777777
asdasd
555555
654321
qwe123
1q2w3e4r
zxcvbnm
123qwe

10 самых популярных паролей зоны «РУ» из утечек (30,234,882 записей) только за 2021 год:

qwerty123
qwerty1
123456
asdasd
12345
123456789
asdasd123
12345678
qwerty
123321

Видно, что никакой принципиальной разницы между паролями зоны «РУ» и всеми остальными – нет.

10 самых популярных паролей, содержащих только буквы:

qwerty123
qwerty1
123456 (1)
a11111
123456789 (2)
111111 (3)
112233
12345678 (5)
12345 (7)
000000 (9)

В данном топе никаких изменений за год не произошло.

10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:

1qaz@WSX
P@ssw0rd
p@ssw0rd
1qaz!QAZ
!QAZ2wsx
Password1! (7)
!QAZ1qaz
abc123! (10)
Pa$$w0rd (6)
pass@123

10 самых популярных кириллических паролей:

йцукен
пароль
любовь (4)
привет (5)
наташа (6)
максим (7)
марина (9)
люблю
андрей (10)
кристина

Пароль «я» (ранее 3 место), бывший в списке кириллических паролей прошлогоднего рейтинга, был нами дисквалифицирован в этом году.

Теперь что касается адресов электронной почты, являющихся логинами.

10 самых популярных доменов:

gmail.com (2)
yahoo.com (1)
hotmail.com
mail.ru
rambler.ru
yandex.ru
ya.ru
qq.com
aol.com
bk.ru

На долю сервисов Mail.ru и Yahoo приходится по 14% всех утекших адресов электронной почты, попавших в наше исследование. На сервисы Gmail и Hotmail приходится по 12%. На Яндекс — 6.4%, а на Рамблер — 4%.

10 самых популярных имен:

info
admin
office
mail
contact
sales
adam
webmaster
john
chris

В данном топе никаких изменений за год не произошло.

В заключении хочется отметить, что большой проблемой остается то, что многие сервисы, в которых пользователи регистрируются с собственным паролем, используют для его хранения устаревшие ( «слабые») алгоритмы хеширования, а некоторые даже хранят пароли в открытом (текстовом) виде. Кроме того, значительная часть пользователей достаточно легкомысленно относится к используемым паролям, и за прошедший год ни доля сложных (содержащих буквы, цифры и спецсимволы), ни доля длинных (более 10 символов) паролей практически не изменилась, оставшись на уровне 3,5% для первых и 16,5% для вторых.