Турецкий студент и независимый исследователь Ата Хакчел (Ata Hakc?l) проделал огромную работу, изучив более миллиарда различных логинов и паролей. Столь огромный дамп для анализа он собрал из открытых источников: все эти данные когда-то «утекли» в сеть в результате различных ИБ-инцидентов. Подобные дампы копятся в сети уже не один десяток лет, и их количество лишь растет по мере взлома новых компаний. Найти их совсем нетрудно, — такие подборки учетных данных доступны на GitHub и GitLab, свободно распространяются на хакерских форумах, через файлообенники и так далее. Также стоит отметить, что крупные компании давно собирают такие дампы, чтобы предупреждать своих пользователей об опасности. К примеру, ­Google, Microsoft и Apple используют «утекшие» логины и пароли для создания собственных систем оповещения, которые информируют людей, когда те используют слабый или уже скомпрометированный пароль. Хакчел пишет, что в огромной подборке ему удалось обнаружить 168 919 919 уникальных паролей и, как оказалось, более 7 000 000 их них — это пароль «123456» (каждый сто сорок второй пароль). Напомню, что специалисты давно говорят о том, что последовательность «123456» является самым используемым паролем в мире и лидирует с большим отрывом на протяжении как минимум пяти лет. Также исследователь подсчитал, что средняя длина пароля составляет 9,48 символов, хотя ИБ-эксперты обычно рекомендуют использовать более длинные пароли (от 16 до 24 символов). Сложность паролей тоже оказалась проблемой, поскольку лишь 12% паролей от общего числа содержат хотя бы один специальный символ. Хуже того, в подавляющем большинстве случаев пользователи выбирают максимально простые пароли: используют только буквы (29%) или только цифры (13%). По сути, это значит, что примерно 42% всех паролей уязвимы для банальных словарных атак и перебора. Другие интересные выводы из отчета Хакчела: из 1 000 000 000 изученных строк как поврежденные или тестовые были отфильтрованы 257 669 588; по сути, миллиард учетных данных содержал только 168 919 919 уникальных паролей и 393 386 953 имен пользователей; самый распространенный пароль — «123456», он встречается примерно в 0,722% случаев; 1000 самых распространенных паролей, это примерно 6,607% от всех изученных паролей; средняя длина пароля составляет 9,4822 символа; только 12,04% паролей содержат специальные символы; 8,79% паролей содержат только буквы; 26,16% паролей содержат символы только в нижнем регистре; 13,37% паролей содержат только цифры; 34,41% всех паролей заканчиваются цифрами, но только 4,522% паролей начинаются с цифр.