За год, прошедший с прошлого исследования, мы проанализировали около 110 млн новых уникальных учетных записей (пары электронная почта/пароль).

В данном отчете проанализировано 5,47 млрд уникальных учетных записей. Как и прежде, основной упор мы делаем на пароли.

Начиная с 2017 года, всего нами было проанализировано 36,4 млрд учетных записей, включая неуникальные. Таким образом за 2022 год в открытом доступе появилось дополнительно примерно 900 млн неуникальных учетных записей.

Традиционно источниками анализируемых данных для нас служат различные сообщества, занимающиеся восстановлением паролей из хешей (например, hashmob.net), теневые форумы и Telegram-каналы, где в открытый доступ выкладываются массовые утечки.

Мы очищаем данные от «мусора» (пустых и повторяющихся записей). Выявляем и дисквалифицируем автоматически сгенерированные пароли (те, которые устанавливают не пользователи сами, а сервис, допустивший утечку этих самых паролей), а также массовые автоматические регистрации (когда учетные записи на том или ином сервисе, допустившем утечку, заводятся ботами). Кириллические символы приводятся к единой кодировке.

В 2022 году следующие крупные утечки (свыше 15 млн учетных записей) попали в это исследование:

— соцсеть для видео dubsmash.com – 50 млн

— сервис знакомства mate1.com – 27 млн

— латиноамериканская соцсеть Taringa! – 26 млн

— сервис подбора актеров и моделей exploretalent.com – 18 млн

— интернет-магазин nlstar.com компании сетевого маркетинга NL International – 15 млн

Обращаем внимание, что цифры в списке выше, это не размер утечки, допущенной тем или иным сервисом, а количество учетных записей, доступных на момент данного исследования. Сами эти утечки могли происходить и раньше 2022 года, однако только в 2022 году они стали доступны нам для анализа.

Кстати, для интернет-сервисов и облачных платформ, хранящих данные пользователей мы предлагаем подключиться к нашему API и автоматически оповещать своих пользователей в случае компрометации их логинов (имена пользователей, адреса эл. почты, телефоны) и паролей. Кроме того, для наших корпоративных клиентов мы осуществляем мониторинг скомпрометированных учетных записей (логинов и паролей).

На момент исследования в базе паролей:

•             5,471,135,296 всего паролей (было 5,362,581,573)

•             924,439,877 паролей содержат только цифры (было 894,691,158)

•             1,403,357,017 паролей содержат только буквы (было 1,380,701,190)

•             14,599,602 паролей содержат буквы кириллического алфавита (было 14,470,812)

•             201,792,050 паролей содержат буквы, цифры и спецсимволы (было 195,647,440)

•             3,536,268,664 паролей содержат 8 и более символов (было 3,472,273,173)

•             907,856,723 паролей содержат более 10 символов (было 890,164,009)

•             1,171,584,985 паролей содержат менее 7 символов (было 1,139,217,369)

Взяв за основу эти данные, нами был составлен традиционный «хит-парад» паролей и логинов. В скобках указывается старое место записи в топе (если она в него попадала ранее), зеленым цветом – новые записи, которые не попадали в топ ранее.

25 самых популярных паролей за все время:

1. 123456
2. 123456789
3. qwerty123
4. 12345 (5)
5. qwerty (4)
6. qwerty1
7. password
8. 12345678
9. 111111 (10)
10. 1q2w3e (9)
11. a123456
12. 123123 (11)
13. 1234567 (12)
14. 1234567890 (13)
15. 000000 (14)
16. 1234 (15)
17. qwertyuiop
18. 123321 (16)
19. abc123 (18)
20. 666666
21. 654321 (19)
22. 1q2w3e4r5t (21)
23. 1q2w3e4r
24. 7777777 (22)
25. 123 (23)

Можно заметить, что на 11-м и 23-м местах появились пароли «a123456» и «1q2w3e4r», а пароли «password1» и «iloveyou» теперь находятся за пределами рейтинга. Уже несколько лет подряд в данном рейтинге происходят только «косметические» изменения, никаких принципиально новых паролей не появляется.

А вот так выглядят 10 самых популярных паролей из утечек только за 2022 год:

1. a123456
2. 123456 (3)
3. 123456789 (5)
4. 12345 (9)
5. 33112211
6. 111111
7. 12345678 (8)
8. 1234567890
9. 1234567
10. 1q2w3e4r

Отдельные выделим пароли для учетных записей в доменных зонах .ru и .рф. В 2022 году было проанализировано 1,500,547,458 (годом ранее — 1,483,586,769) учетных записей из зоны «РУ».

25 самых популярных паролей зоны «РУ» за все время:

1. 123456
2. qwerty
3. 123456789
4. 12345
5. qwerty123
6. 1q2w3e
7. password
8. 12345678
9. 111111
10. 1234567890
11. 1234567
12. 123123
13. qwertyuiop
14. 123321
15. 1q2w3e4r5t
16. 000000
17. 666666
18. 7777777
19. asdasd
20. 555555
21. 654321
22. qwe123
23. 1q2w3e4r
24. 33112211
25. zxcvbnm (24)

10 самых популярных паролей зоны «РУ» из утечек 18,364,083 (годом ранее — 30,234,882) записей только за 2022 год:

1. 33112211
2. 123456 (3)
3. 1q2w3e4r
4. 123456789 (6)
5. qwerty (9)
6. 111111
7. 12345 (5)
8. 12345678
9. 123123
10. 1234567890

10 самых популярных паролей, содержащих только буквы:

1. qwerty
2. password
3. qwertyuiop
4. zxcvbnm (6)
5. iloveyou (4)
6. asdasd (5)
7. qazwsx
8. asdfghjkl (9)
9. dragon (8)
10. monkey

В данном топе никаких существенных изменений за год не произошло.

10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:

1. 1qaz@WSX
2. P@ssw0rd
3. p@ssw0rd
4. pass@123 (10)
5. 1qaz!QAZ (4)
6. !QAZ2wsx (5)
7. Password1! (6)
8. !QAZ1qaz (7)
9. Pass@123
10. abc123! (8)

10 самых популярных кириллических паролей:

1. йцукен
2. пароль
3. любовь
4. привет
5. наташа
6. максим
7. марина
8. люблю
9. андрей
10. кристина

В данном топе вообще никаких изменений за год не произошло.

Теперь что касается адресов электронной почты, являющихся логинами.

10 самых популярных доменов:

1. gmail.com
2. yahoo.com
3. hotmail.com
4. mail.ru
5. rambler.ru
6. yandex.ru
7. qq.com (8)
8. ya.ru (7)
9. aol.com
10. bk.ru

В данном топе никаких значимых изменений за год не произошло.

10 самых популярных имен:

1. info  
2. admin 
3. office
4. mail
5. contact
6. sales
7. adam
8. webmaster
9. john
10. david

Следить за обновлениями «коллекции» паролей можно через Telegram-канал «Утечки информации».