Gmail jelszo szivargas statisztikaja

Security-all

Gondolom mar lassan mindenki olvasta ITT a forumon vagy immaron mashol, hogy a napokban a BTCSec forumara nagy mennyisegu jelszot raktak ki ismeretlen elkovetok, amiket azota mar eltavolitottak az oldalrol.

Internet szerte csak a Gmail-rol lehet hallani am az igazsag az, hogy Yandex es MailRu adatok is kikerultek.

Mint a fentebb linkelt posztban is irtam az incidens utan nemsokkal megszereztem mind a harom eredeti fajlt, melyek a jelszavakat is tartalmazza.

Ezek felhasznalasaval keszitettem egy kis statisztikat:

Pontosan mennyi jelszo szivargott ki:

  • Google: 4 929 090
  • MailRu: 4 664 479
  • Yandex: 1 261 810

Osszesen: 10 855 379

Leggyakrabban elofordulo jelszavak:

Google: (2.4%)

  1. 123456
  2. password
  3. 123456789
  4. 12345
  5. qwerty
  6. 12345678
  7. 111111
  8. abc123
  9. 123123
  10. 1234567
  11. 1234567890
  12. 1234
  13. iloveyou
  14. password1
  15. 000000
  16. 27653
  17. zaq12wsx
  18. tinkle
  19. qwerty123
  20. monkey

MailRu: (7%)

  1. qwerty
  2. 123456
  3. qwertyuiop
  4. qwe123
  5. qweqwe
  6. klaster
  7. 1qaz2wsx
  8. 1q2w3e4r
  9. qazwsx
  10. 1q2w3e4r5t
  11. 123456789
  12. 111111
  13. zxcvbnm
  14. 1234qwer
  15. qwer1234
  16. asdfgh
  17. marina
  18. q1w2e3r4t5
  19. qwerty123
  20. 12345

Yandex: (9.1%)

  1. 123456
  2. 123456789
  3. 111111
  4. qwerty
  5. 1234567890
  6. 1234567
  7. 7777777
  8. 123321
  9. 000000
  10. 123123
  11. 666666
  12. 12345678
  13. 555555
  14. 654321
  15. gfhjkm
  16. 777777
  17. 112233
  18. 121212
  19. 12345
  20. 987654321

Osszesitve: (4.8%)

  1. 123456
  2. qwerty
  3. qwertyuiop
  4. qwe123
  5. 123456789
  6. 111111
  7. password
  8. 12345
  9. qweqwe
  10. 1qaz2wsx
  11. 1q2w3e4r
  12. qazwsx
  13. klaster
  14. 1234567890
  15. 12345678
  16. 1234567
  17. 1q2w3e
  18. 123123
  19. 123qwe
  20. 123321

Hossz szerinti eloszlasuk:

  1. 9 karakter (25.9%)
  2. 7 karakter (21.9%)
  3. 8 karakter (14%)
  4. 10 karakter (12.4%)
  5. 11 karakter (10.9%)
  6. 12 karakter (4.2%)
  7. 13 karakter (3.1%)
  8. 6 karakter (1.8%)
  9. 14 karakter (1.5%)
  10. 15 karakter (1.1%)

Jelszavak "erossege":
31.2% csak kisbetut tartalmaz
21.1% csak szamot tartalmaz
0.1% csak nagybetut tartalmaz

A jelszavak kevesebb, mint fele (47.6%) hasznalt kombinalt jelszot (am a leggyakoribb jelszavak listajabol latszodik, hogy ezt sem a leheto legjobb modon).

Remelem valakinek hasznos volt ez a kis statisztika. Esetleg ha valami kerdes felmerulne a dologgal kapcsolatosan akkor szivesen varom es remelhetoleg tudok valaszt is adni ra.

UPDATE 1:
A leggyakrabban elofordulo jelszavak listajat kibovitettem igy mar lathato kulon-kulon a Google, MailRu es Yandex jelszavak, valamint az eredetileg is kinn levo osszesitett lista is lathato.

UPDATE 2:
A Top20-as listaknal lathato % jelenti, hogy az a 20 jelszo osszesen hany %-ot tesz ki.

( cherockee v | 2014. 09. 13., szo – 23:18 )

Először is köszönet, hasznos volt.

Másodszor: jelszavak gyakorisági listájára tudsz százalékokat mondani szintén? Igazából nekem az is elég lenne, hogy az első 20 jelszó hány százalékot tett ki, mert láthatóan egyenértékűen semmilyenek.

Eleinte magam is azon voltam, hogy irok oda szazalekot, am meglepo modon szinte elhanyagolhato szamadatrol van szo.
Ha csak az 123456-ot nezem, ami ugye a lista elejen van, az mindosszesen 1.2%-ot tesz ki.

A 20 leggyakoribb jelszo osszesen 4.8%-ot tesz ki.

A 20-as listabol egyedul az elso es a masodik helyen levo gyakorisaga lepi tul a 100 000-et, de nem sokkal. Egyutt pedig csak az 500 000-et lepik tul egy kicsivel.

( csardij v | 2014. 09. 13., szo – 23:49 )

Én is letöltöttem a jelszavas listát, mert vlt pár mail címem ami benne volt, és kijelenthetem, hogy ezek nem Gmail-es jelszavak voltak! Valahol bekérték őket, és ott adtam meg kamu jelszót, innét jöhettek, tehát nem hinném, hogy a Gmailtől szivárogtak volna ki a jelszavak

Ez sem kizart.

Az a gond, hogy nem leptek valami gyorsan.

Igazabol a BTCSec-en is azt irtak, hogy a jelszavak 60%-a valos, majd mikor mar a Google is reagalt a dologra ok azt mondtak csak 2% a valodi.

En inkabb azt mondom jobb azert komolyabban venni, mert a Google is jatszhat arra, hogy ne magat jarassa mar le ilyennel.

De amugy mi is vegigneztuk a dolgokat es volt akinek tenyleg olyan jelszava volt ott amit csak a Google fiokjanal hasznalt.

A jelszavas lista már nem tölthető le?
Van egy rég nem használt account, ami a sima listán ott van, de a jelszó már rég nincs meg, a tulajdonos elfelejtette :)
Illetve talán ugyanaz, mint ami a jelszavasban van. De hol lehet ahhoz hozzájutni?
--
PtY - www.onlinedemo.hu, www.westeros.hu

( vilmos.nagy | 2014. 09. 14., v – 00:22 )

A `klaster` honnan jön?
Van olyan billentyűzetkiosztás, ahol így kezdődik a qwertz? Vagy?
--
blogom

Azon en is csodalkoztam.

Eredetileg kulon-kulon akartam megvizsgalni mind a harom fajlt. Elkezdtem a Gmail-el, amiben a top20-as listan a klaster nem szerepelt. Szinte minden ugyanaz csak 20. helyen a monkey talalhato.

Akkor gondoltam bele, hogy eleg lenne egybe nezni oket. Mikor ugy megvizsgaltam akkor mar ott volt a klaster.

Ha valaki tud oroszul az mondja mar meg, hogy a klaster-nek van valami ertelme? Mert ha van akkor a Yandex es a MailRu orosz mivolta vegett ugrott a top20-ba. Ha nincs, akkor nem tudom miert ilyen nepszeru.

Szerk.:
Igen. Jol gondoltam.

Ez valami orosz lesz.

A Gmail-ek kozott csak ket darab fordul elo belole, de azok sem csak siman klaster-kent hanem mar kombinalva.

( uid_20269 | 2014. 09. 14., v – 00:49 )

oroszok.. klaster.. biztos valamilyen kommersz vodka neve..

God bless you, Captain Hindsight..

( ak0sh | 2014. 09. 14., v – 01:43 )

>Leggyakrabban előforduló jelszavak:
>nincs közte az amerikai szupertitkos rakétakilövőkód: 00000000

>Hossz szerinti eloszlasuk:
>10. 15 karakter (1.1%)
No, ezek érdekelnének, hogy milyenek voltak...

Amúgy köszi a listát! :3

Szerintem felesleges harmadik fél. A böngészőben kénytelenek vagyunk megbízni, viszont ezen felül nem kellene, mert a jelszavak itt megjegyeztethetők. Személy szerint mindenhova külön random jelszót használok és megjegyeztetem a böngészővel meg feljegyzem külön arra az esetre, ha elveszne a böngésző profil. Több művelet nincs vele a jövőben.

Ez csak addig életszerű, ameddig egy gépen, egy OS-en használod az említett jelszavakat. Egyébként hurcolod magaddal valami jelszókezelőben (ami akár egy kockás füzet is lehet), és begépeled újból a másik gépen/os-en. Rosszabb esetben telefonon, tableten. Mert hogy a mindenhol külön jelszót fejben tartani módszer nem működik manapság egy nem különösebben mutáns emberi agynál, az hótziher.

Szóval onnan kezdve hogy nem csak egy helyen kell használni, máris árnyalódik a kép.

A gyakorlatban nézve úgy látom, hogy ha több eszközön használ valaki hozzáférést (átlag ember), akkor pár darab kell neki (<10). Ezekhez begépelni a jelszót és megjegyeztetni egy sokkal jobb megoldás szerintem. Egy szakadék van szerintem az között, hogy be kell gépelnem (nincs nagy piros gombra varázslat még) kontra kiadom egy számomra totál lemérhetetlen félnek és ki tudja mit hoz a jövő. Főleg hogy nem a harmadik félben kell megbíznom, hanem az ő és összes dolgozója szaktudásában és összes eszközében és hosszú távú hozzáállásukban.

Tehát a mérleg egyik oldalán az van, hogy 1 eszközre begépelem a jelszót pár évente egyszer - kontra ezer "független" dologban megbízni.

További kérdésem, hogy vannak-e olyanok a jelszavaid közt, melyek a munkahelyedhez vagy ügyfeleidhez kötődnek, tehát nem magán jellegűek és ezeket is feltöltöd-e a harmadik félhez? Ha igen, akkor felhívtad-e az ügyfeled vagy munkáltatód figyelmét erre? Ha nem töltöd fel, akkor meg azokhoz mégis megfelel a "kényelmetlen" használat?

Számomra ezek fontos szempontok, főleg IT területen dolgozóként.

Röviden: nem. Mivel a munkahelyi jelszavamat kb. félóránként be kell írnom, ha más nem, a gép feloldásához, így ott nem opció olyan jelszavak használata, mint amit fentebb írtam. Ügyfeleknél pedig nincs accountom - egy netszolgáltatónál dolgozom, fura is lenne, ha be tudnék lépni az előfizetők gépére.