Gondolom mar lassan mindenki olvasta ITT a forumon vagy immaron mashol, hogy a napokban a BTCSec forumara nagy mennyisegu jelszot raktak ki ismeretlen elkovetok, amiket azota mar eltavolitottak az oldalrol.
Internet szerte csak a Gmail-rol lehet hallani am az igazsag az, hogy Yandex es MailRu adatok is kikerultek.
Mint a fentebb linkelt posztban is irtam az incidens utan nemsokkal megszereztem mind a harom eredeti fajlt, melyek a jelszavakat is tartalmazza.
Ezek felhasznalasaval keszitettem egy kis statisztikat:
Pontosan mennyi jelszo szivargott ki:
- Google: 4 929 090
- MailRu: 4 664 479
- Yandex: 1 261 810
Osszesen: 10 855 379
Leggyakrabban elofordulo jelszavak:
Google: (2.4%)
- 123456
- password
- 123456789
- 12345
- qwerty
- 12345678
- 111111
- abc123
- 123123
- 1234567
- 1234567890
- 1234
- iloveyou
- password1
- 000000
- 27653
- zaq12wsx
- tinkle
- qwerty123
- monkey
MailRu: (7%)
- qwerty
- 123456
- qwertyuiop
- qwe123
- qweqwe
- klaster
- 1qaz2wsx
- 1q2w3e4r
- qazwsx
- 1q2w3e4r5t
- 123456789
- 111111
- zxcvbnm
- 1234qwer
- qwer1234
- asdfgh
- marina
- q1w2e3r4t5
- qwerty123
- 12345
Yandex: (9.1%)
- 123456
- 123456789
- 111111
- qwerty
- 1234567890
- 1234567
- 7777777
- 123321
- 000000
- 123123
- 666666
- 12345678
- 555555
- 654321
- gfhjkm
- 777777
- 112233
- 121212
- 12345
- 987654321
Osszesitve: (4.8%)
- 123456
- qwerty
- qwertyuiop
- qwe123
- 123456789
- 111111
- password
- 12345
- qweqwe
- 1qaz2wsx
- 1q2w3e4r
- qazwsx
- klaster
- 1234567890
- 12345678
- 1234567
- 1q2w3e
- 123123
- 123qwe
- 123321
Hossz szerinti eloszlasuk:
- 9 karakter (25.9%)
- 7 karakter (21.9%)
- 8 karakter (14%)
- 10 karakter (12.4%)
- 11 karakter (10.9%)
- 12 karakter (4.2%)
- 13 karakter (3.1%)
- 6 karakter (1.8%)
- 14 karakter (1.5%)
- 15 karakter (1.1%)
Jelszavak "erossege":
31.2% csak kisbetut tartalmaz
21.1% csak szamot tartalmaz
0.1% csak nagybetut tartalmaz
A jelszavak kevesebb, mint fele (47.6%) hasznalt kombinalt jelszot (am a leggyakoribb jelszavak listajabol latszodik, hogy ezt sem a leheto legjobb modon).
Remelem valakinek hasznos volt ez a kis statisztika. Esetleg ha valami kerdes felmerulne a dologgal kapcsolatosan akkor szivesen varom es remelhetoleg tudok valaszt is adni ra.
UPDATE 1:
A leggyakrabban elofordulo jelszavak listajat kibovitettem igy mar lathato kulon-kulon a Google, MailRu es Yandex jelszavak, valamint az eredetileg is kinn levo osszesitett lista is lathato.
UPDATE 2:
A Top20-as listaknal lathato % jelenti, hogy az a 20 jelszo osszesen hany %-ot tesz ki.
Hozzászólások
Először is köszönet, hasznos volt.
Másodszor: jelszavak gyakorisági listájára tudsz százalékokat mondani szintén? Igazából nekem az is elég lenne, hogy az első 20 jelszó hány százalékot tett ki, mert láthatóan egyenértékűen semmilyenek.
Eleinte magam is azon voltam, hogy irok oda szazalekot, am meglepo modon szinte elhanyagolhato szamadatrol van szo.
Ha csak az 123456-ot nezem, ami ugye a lista elejen van, az mindosszesen 1.2%-ot tesz ki.
A 20 leggyakoribb jelszo osszesen 4.8%-ot tesz ki.
A 20-as listabol egyedul az elso es a masodik helyen levo gyakorisaga lepi tul a 100 000-et, de nem sokkal. Egyutt pedig csak az 500 000-et lepik tul egy kicsivel.
Köszönet, az az 5% erre a 20 jelszóra nem sok, azt hittem jóval több, minimum 10-20%.
Én is letöltöttem a jelszavas listát, mert vlt pár mail címem ami benne volt, és kijelenthetem, hogy ezek nem Gmail-es jelszavak voltak! Valahol bekérték őket, és ott adtam meg kamu jelszót, innét jöhettek, tehát nem hinném, hogy a Gmailtől szivárogtak volna ki a jelszavak
nekem egy olyan jelszavam volt megadva, ami nem gmail-es volt, hanem máshol ahol a gmail-címem volt a felhasználónevem, ott megadhattam. de maga a jelszó valós volt, valamit felnyomtak.
Ez sem kizart.
Az a gond, hogy nem leptek valami gyorsan.
Igazabol a BTCSec-en is azt irtak, hogy a jelszavak 60%-a valos, majd mikor mar a Google is reagalt a dologra ok azt mondtak csak 2% a valodi.
En inkabb azt mondom jobb azert komolyabban venni, mert a Google is jatszhat arra, hogy ne magat jarassa mar le ilyennel.
De amugy mi is vegigneztuk a dolgokat es volt akinek tenyleg olyan jelszava volt ott amit csak a Google fiokjanal hasznalt.
+1
ezek nem a google-től jöttek, az hótziher
(ők nem is engednek 6 karakteres jelszót, hogy mást ne mondjak)
(nem igaz.)
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
Igazság szerint kipróbáltam, és ezt a választ adta: "Must have at least 8 characters", amikor jelszót próbáltam váltani a webes felületen.
Szerintem régen nem volt ilyen limit, és simán lehet, hogy vannak még sokan régi, rövid jelszavakkal.
Az lehet.
jahm, nekem is van par spam fiokom 6 karakteres jelszoval.
kb. 2-3 eve koveteli meg a hosszabbat.
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
A jelszavas lista már nem tölthető le?
Van egy rég nem használt account, ami a sima listán ott van, de a jelszó már rég nincs meg, a tulajdonos elfelejtette :)
Illetve talán ugyanaz, mint ami a jelszavasban van. De hol lehet ahhoz hozzájutni?
--
PtY - www.onlinedemo.hu, www.westeros.hu
E54CEB6D6xC4A43996F12D9x310D867353780BF34A
Vedd ki az x-eket.
--
Hat ja. Most mar eleg sok helyen hozzaferhetoek a fajlok.
Nekunk szerencsenk, hogy mi figyelunk az ilyenekre igy elsok kozott szereztuk meg a fajlokat.
Kivettem az x-eket, de nem vagyok képben. A bináris részét sem tudom beazonosítani (nem gzip/bzip), szóval kéne egy ki s help...
--
PtY - www.onlinedemo.hu, www.westeros.hu
x-ek nelkul Google. Elso talalat es ott van.
Pf... Kösz, ezt nem próbáltam :)
--
PtY - www.onlinedemo.hu, www.westeros.hu
Google
--
blogom
A `klaster` honnan jön?
Van olyan billentyűzetkiosztás, ahol így kezdődik a qwertz? Vagy?
--
blogom
Azon en is csodalkoztam.
Eredetileg kulon-kulon akartam megvizsgalni mind a harom fajlt. Elkezdtem a Gmail-el, amiben a top20-as listan a klaster nem szerepelt. Szinte minden ugyanaz csak 20. helyen a monkey talalhato.
Akkor gondoltam bele, hogy eleg lenne egybe nezni oket. Mikor ugy megvizsgaltam akkor mar ott volt a klaster.
Ha valaki tud oroszul az mondja mar meg, hogy a klaster-nek van valami ertelme? Mert ha van akkor a Yandex es a MailRu orosz mivolta vegett ugrott a top20-ba. Ha nincs, akkor nem tudom miert ilyen nepszeru.
Szerk.:
Igen. Jol gondoltam.
Ez valami orosz lesz.
A Gmail-ek kozott csak ket darab fordul elo belole, de azok sem csak siman klaster-kent hanem mar kombinalva.
egy kérdés: miért pont klaster?
nem lehet, hogy ez az oroszoknál a szerver szót helyettesítő slang? ahogy látom, rákeresve ugyan azt jelenti ott is, szerintem valami olyan, mint nálunk az admin szó
(amúgy engem a google féle MONKEY és TINKLE is meglep :), de pl. a zaq12wsx-t megfejtettem :) )
Igen. A zaq12wsx meg a 1q2w3e4r meg tarsain csodalkoztam eloszor, hogy mik azok, azutan esett le, hogy hogy is vannak azok.
Erdekes mert en meg nem talalkoztam ezekkel a kombinaciokkal.
oroszok.. klaster.. biztos valamilyen kommersz vodka neve..
God bless you, Captain Hindsight..
Mégsem... :)
>Leggyakrabban előforduló jelszavak:
>nincs közte az amerikai szupertitkos rakétakilövőkód: 00000000
>Hossz szerinti eloszlasuk:
>10. 15 karakter (1.1%)
No, ezek érdekelnének, hogy milyenek voltak...
Amúgy köszi a listát! :3
> No, ezek érdekelnének, hogy milyenek voltak...
Egy átlagos, LastPass által generált és tárolt jelszó, a HUP-on is hasonlót használok: ^9x43f3!S2D3fAS^tAtVubwJw
De a LastPass-nak meg kiadod az összeset :)
Nem hinném, kliensoldalon van titkosítva.
JS-ből? Több topikban láttalak a végletekbe menőkig érvelni, hogy ezt biztonságosan nem lehet megcsinálni weben és nem lesz megbízható. :)
És backdoor sincs benne, mert ők mondták :)
http://blog.lastpass.com/2013/09/lastpass-and-nsa-controversy.html
Fasza, de egyrészt bármire rámondható, hogy backdoor van benne (amúgy tudtátok, hogy az NSA megfigyeli a hupot?) másrészt ennyi erővel már a Firefoxban is lehetne backdoor, mert tudomásom szerint azt sem auditálta még senki.
Persze, senki se állította az ellenkezőjét :D
Pont az ilyenek miatt érik bennem a gondolat, hogy a jelszavas autentikáció mint olyan, kb. a kőbalta szintű megoldás. Csak nem tudok jobbat.
Hát körülbelül.
Lazán kapcsolódik: http://www.spiegel.de/international/world/snowden-documents-indicate-ns…
Vannak egyébként jelszó helyetti próbálkozások és megoldások. Lásd pl., mikor grafikailag kell rajzolni egy ábrát vagy vonalakat húzkodni adott irányban és sorrendben (pl. andorid 4-es körüli telefonzár stb.)
Nem vagyok biztos benne, hogy a system tray-en üldögélő, egyébként .exe kiterjesztésű alkalmazás JavaScriptet használ crypto-hoz. De persze ha kiderül, hogy mégis, kukázom.
https://lastpass.com/how-it-works/
Ebből azt látom, hogy minden böngészőben zajlik. A Download gomb pedig egy böngésző kiterjesztés letöltéséhez visz. Az meg JS-t futtat tudtommal.
Kieg: látom külön is letölthető vastag kliens.
Megjegyzem, LastPass nagyon jó példa arra, hogy milyen hatalma van a kényelemnek. :)
Az tuti. Bár még ha tényleg lenne is benne backdoor, és ha tényleg JS-t is használna, szerintem még akkor is nagyobb biztonságot ad, mintha ugyanazt a jelszót használnám mindenhol.
Szerintem felesleges harmadik fél. A böngészőben kénytelenek vagyunk megbízni, viszont ezen felül nem kellene, mert a jelszavak itt megjegyeztethetők. Személy szerint mindenhova külön random jelszót használok és megjegyeztetem a böngészővel meg feljegyzem külön arra az esetre, ha elveszne a böngésző profil. Több művelet nincs vele a jövőben.
Ez csak addig életszerű, ameddig egy gépen, egy OS-en használod az említett jelszavakat. Egyébként hurcolod magaddal valami jelszókezelőben (ami akár egy kockás füzet is lehet), és begépeled újból a másik gépen/os-en. Rosszabb esetben telefonon, tableten. Mert hogy a mindenhol külön jelszót fejben tartani módszer nem működik manapság egy nem különösebben mutáns emberi agynál, az hótziher.
Szóval onnan kezdve hogy nem csak egy helyen kell használni, máris árnyalódik a kép.
A gyakorlatban nézve úgy látom, hogy ha több eszközön használ valaki hozzáférést (átlag ember), akkor pár darab kell neki (<10). Ezekhez begépelni a jelszót és megjegyeztetni egy sokkal jobb megoldás szerintem. Egy szakadék van szerintem az között, hogy be kell gépelnem (nincs nagy piros gombra varázslat még) kontra kiadom egy számomra totál lemérhetetlen félnek és ki tudja mit hoz a jövő. Főleg hogy nem a harmadik félben kell megbíznom, hanem az ő és összes dolgozója szaktudásában és összes eszközében és hosszú távú hozzáállásukban.
Tehát a mérleg egyik oldalán az van, hogy 1 eszközre begépelem a jelszót pár évente egyszer - kontra ezer "független" dologban megbízni.
További kérdésem, hogy vannak-e olyanok a jelszavaid közt, melyek a munkahelyedhez vagy ügyfeleidhez kötődnek, tehát nem magán jellegűek és ezeket is feltöltöd-e a harmadik félhez? Ha igen, akkor felhívtad-e az ügyfeled vagy munkáltatód figyelmét erre? Ha nem töltöd fel, akkor meg azokhoz mégis megfelel a "kényelmetlen" használat?
Számomra ezek fontos szempontok, főleg IT területen dolgozóként.
Röviden: nem. Mivel a munkahelyi jelszavamat kb. félóránként be kell írnom, ha más nem, a gép feloldásához, így ott nem opció olyan jelszavak használata, mint amit fentebb írtam. Ügyfeleknél pedig nincs accountom - egy netszolgáltatónál dolgozom, fura is lenne, ha be tudnék lépni az előfizetők gépére.
A nagy atlagban azok a 15 (vagy tobb) karakterbol allo jelszavak hasonlo semara epulnek. Nev, szo, esetleg mondat majd a vegen valamilyen szam (legtobbszor evszam)
Viszont a francia jegybanknál is használt "123456" az elég előkelő helyen van.
Köszi.
:)
sub