Ксеноморф

Собрал статистику по паролям с одного проекта с количеством регистраций ~140к.

ТОП 10

1) 12345 (4388)
2) 123456 (2517)
3) 11111 (1219)
4) 55555 (1172)
5) 77777 (589)
6) qwerty (459)
7) 111111 (439)
8) 00000 (325)
9) 666666 (324)
10) 123456789 (302)

В сумме это дает 11734 регистраций, или 8,4% от общего числа. Плюс еще у 5590 (4,0%) пользователей пароль совпадает с логином.

Вдумайтесь в эти цифры. У примерно 12% пользователь очень простые пароли. Ужасно простые. И не думаю, что на других сервисах цифры будут особо отличаться.

Каждую десятую анкету можно взломать простым перебором. А ведь избежать этого очень просто. При регистрации не давайте пользователю выбирать такой простой пароль или пароль совпадающий с логином. Плюс введите таймаут между попытками ввода пароля, хотя бы секунд 20. Пользователь это даже не заметит, а жизнь злоумышленника станет сложнее.

ОСТАЛЬНЫЕ 20

11) 54321 (298)
12) 123321 (298)
13) 1234567 (285)
14) 123123 (284)
15) gfhjkm (283)
16) 7777777 (269)
17) qwert (258)
18) 22222 (225)
19) 555555 (214)
20) 123 (210)
21) 33333 (188)
22) 99999 (185)
23) 000000 (171)
24) 654321 (169)
25) 777777 (163)
26) 88888 (156)
27) 66666 (152)
28) 1234567890 (145)
29) 112233 (139)
30) ghbdtn (138)

Кто не догадался: gfhjkm это “пароль”, а “ghbdtn” привет.

P.S. Лет 7 назад лично писал простенький скрипт на PHP, который парсил список пользователей онлайн в чате и пытался коннектиться под ними примерно по такому же списку с паролями. Из 70-100 человек практически всегда 4-8 взламывались, а потом можно было писать от их лица в общий чат или приват.