?

Log in

password1 - Поклонник деепричастий [entries|archive|friends|userinfo]
Anatoly Vorobey

[ website | Website ]
[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Links
[Links:| English-language weblog ]

password1 [янв. 26, 2007|01:53 pm]
Anatoly Vorobey

Ну что. Посмотрел я на список паролей, украденных у пользователей MySpace (больше 50 тысяч штук). Забавное, конечно, зрелище - то, какие люди себе пароли выбирают.

Самым частым выбором действительно оказался 'password1'. На втором месте 'abc123'. Еще забавны комментарии людей, которые поняли, что попали на поддельную страницу, и вместе пароля ввели всякие ругательства.

Люди! Выбирайте себе нормальные пароли!

СсылкаОтветить

Comments:
From: ex_ex_holyh
2007-01-26 11:56 am
Какой пароль вы мне посоветуете ?
(Ответить) (Thread)
[User Picture]From: avva
2007-01-26 12:04 pm
Как насчет 39cy!mq12?
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: ivanov_petrov
2007-01-26 12:01 pm
да, список нормальных паролей, пожалуйста. рейтингованный - какой самый нормальный, какой второй по нормальности...
(Ответить) (Thread)
[User Picture]From: nechaman
2007-01-26 12:03 pm
ЭЭЭ.
А чем нормальный отличается от ненормального?
(Ответить) (Thread)
[User Picture]From: avva
2007-01-26 12:04 pm
Ну он неочевидный, как минимум.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: nameless__one
2007-01-26 12:05 pm
Adverse selection at its plainest.

Какой ещё пароль помимо password1 будет самым распространённым? Подозреваю что qwerty1.

Плюс - пароли, украденные посредством фишинга - это adverse selection вдвойне.

К вопросу стойкости пароля среднего юзера myspace этот список имеет нулевое отношение.
(Ответить) (Thread)
[User Picture]From: avva
2007-01-26 12:07 pm
Ну прямо уж так нулевое. Не преувеличивайте.
Да, selection налицо, не спорю.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: muchacho
2007-01-26 12:10 pm
Сегодня встретил в книжке: "Richard typed in his secret pin number (D-I-C-K)."
(Ответить) (Thread)
[User Picture]From: shigin
2007-01-26 12:18 pm
Я знал! Я знал!

j4o4s4h@yahoo.com:**********
(Ответить) (Thread)
[User Picture]From: avva
2007-01-26 12:37 pm
Хаха :)
(Ответить) (Parent) (Thread)
[User Picture]From: jerom
2007-01-26 12:28 pm
37000 уникальных на 56000 всего это шикарный результат...
(Ответить) (Thread)
[User Picture]From: jerom
2007-01-26 12:30 pm
Кроме того, love всего 7, а sex и god нету вообще!
(Ответить) (Parent) (Thread)
[User Picture]From: nchaly
2007-01-26 12:40 pm
Стойкость пароля можно определить примерно как Длина * Число доменов, где домены - это буквы, цифры, символы, и т.д. По формуле получается, что pib&OgEd5 ("стойкость"=36), сгерененный WAPG, по стойкости примерно сравним с "Сорок тысяч обезьян с жопу сунули банан" по Лукьянеко :)
(Ответить) (Thread)
[User Picture]From: screamager [deadjournal]
2007-01-26 12:43 pm
Люди! Выбирайте себе нормальные пароли!

Зачем?

Я посмотрел файл этот. Вот два пароля, идут практически подряд:

1. bighousefan919@aim.net:football
2. ry96lynn86@yahoo.com:75StArZqwe1qwe

Первый отламывается даже не брутфорсом, а словарной атакой, с использованием дефолтового юниксового словаря.

Второй абсолютно устойчив к словарной атаке и весьма устойчив к брутфорсу (цифры и буквы в разных регистрах, 15 символов -- это умучаешься перебирать).

И чего, помогло это парню не спалиться?

Да ни капли не помогло.

Мне кажется, что совет 'выбирать правильные пароли' - это тяжелое наследие девяностых.

Пароли последние годы крадутся:
1. социальными методами (фишинг и подобное)
2. техническими методами, не имеющими отношения к устойчивости пароля к брутфорс/словарным атакам -- например, кейлоггерами и троянами.

В обеих случаях совершенно пофиг, какой у тебя пароль, если только его нельзя угадать с 3-х раз.
(Ответить) (Thread)
[User Picture]From: gavagay
2007-01-26 02:23 pm
+1
(Ответить) (Parent) (Thread)
[User Picture]From: ak_47
2007-01-26 01:17 pm
Совершенно верно, грамотность рядовых пользователей в выборе паролей оставляет желать много лучшего. Даже такие бывалые макаки как pe3yc иногда теряют пароли. При том что хороший пароль придумать не так уж и сложно.
(Ответить) (Thread)
From: danwinter
2007-01-26 02:05 pm
хоть бы здесь не позорились.
"Для современного компьютера (Пентиум4 --d.) что вышеупомянутый "сложный" пароль (Id@z#A1L3 --d.) что наивный "vasya123" - дело лишь нескольких секунд."
ну-ну
пароли в юникоде.
ну-ну
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: migmit
2007-01-26 01:53 pm
- Фиг ты меня взломаешь, я себе придумал надёжный пароль!
- Ага, надёжный, как же. Наверняка что-то вроде password1.
- Нифига, совсем другой. (про себя) Хорошая идея. (стучит по клавиатуре) p-a-s-s-w-o-r-d-1.
(Ответить) (Thread)
From: (Anonymous)
2007-01-26 02:19 pm
Как придумать нормальный пароль:

http://vbif9.livejournal.com/1166.html

;-)
(Ответить) (Thread)
[User Picture]From: aa_kir
2007-01-26 02:38 pm
Была старая хохма про то, как сисадмин рассылает емайл пользователем компании, говоря, что всем надо сменить пароли; новый пароль должен быть длины не менее 8 и не более 16, содержать как буквы так и цифры, не содержать подряд идущих букв - ну и так далее. Кончается письмо так: ввиду большого набора требований, имеется только один пароль, им всем удовлетворяющий. Этот пароль будет сообщен вам в отдельном письме.
(Ответить) (Thread)
[User Picture]From: yefeyfiya
2007-01-26 02:42 pm
Один из старых моих паролей был: bo04po01ha04 :-) запомнить очень просто. Кто догадается, что тут за логика?
(Ответить) (Thread)
[User Picture]From: yefeyfiya
2007-01-26 02:52 pm
Хм. Посмотрела, подумала... И поняла, что это был плохой пароль :-)
(Ответить) (Parent) (Thread) (Развернуть)
From: ex_bulatych796
2007-01-26 03:35 pm
А ещё лучше позволяйте их выбирать программе.
(Ответить) (Thread)
[User Picture]From: monomyth
2007-01-26 04:58 pm
ну вот я выбрал, теперь долго пытаюсь вспомнить, чего же там за пароль у этого ssh ключа..
(Ответить) (Thread)
From: shamany
2007-01-26 08:56 pm
занятно. лист был снесён моментально, и исчез из гугла и т.д.
но для мастеров deep search'а это пыль.
правда ссылка только одна осталась на данный момент:
http://lists.grok.org.uk/pipermail/full-disclosure/attachments/20070115/5d3183ea/attachment-0001.txt
вообще это еще раз доказывает что информация слитая в интернет, всегда всплывает.

p.s. думаю что 30% паролей будут работать и на mail server'ах этих чудиков :)





(Ответить) (Thread)
[User Picture]From: master_nemo
2007-01-26 10:11 pm
>>вместе пароля ввели всякие ругательства
это Вы зря
это старинная трациция делать таки ПАРОЛИ
воспетая еще "старым" Лукьяненко
и имеющая таки свои резоны

PS: кстати, может кто в курсе чем закончилась история с конкурсом на "угадай пароль Падлы" ?
(Ответить) (Thread)
[User Picture]From: master_nemo
2007-01-26 10:16 pm
проглядев список добавлю к своей фразе про резоны: не для таких прямолинейных, конечно же...
(Ответить) (Parent) (Thread)
[User Picture]From: ltwood
2007-01-27 04:11 pm
Самым частым выбором действительно оказался 'password1'. На втором месте 'abc123'.

А я думал, что 'asd', 'qwerty' и '123' ;)
(Ответить) (Thread)
From: ex_yonkie852
2007-01-28 07:42 am
Действительно, юзерам myspace не помогли сложные пароли, все равно их стырили.
(Ответить) (Thread)