На Хабре - любопытная статья о статистике использования паролей в одной из социальных сетей. Результаты исследования там, к сожалению, вполне ожидаемые, однако статью имеет смысл прочитать тем, кто ставит в своем аккаунте пароль "123", а потом поднимает скандал из серии: "Ах, у меня похитили мой аккаунт и теперь с него спамят". Похитили? Сами и виноваты! По приведенной статистике легко взламывается более 35% паролей. Более 35! То есть больше трети из всех аккаунтов!

А вот царица полей - Top10 наиболее часто используемых паролей. И если ваш пароль находится в этом списке - вы спокойно можете считать себя идиотом.

1 нах.

Можно спать спокойно тем, у кого пароль qwerty123456789.

Особо понравился password

Я свои особо важные пароли вообще не помню и держу их записанными на бумажечках. Для чего-то менее важного у меня всякие дурацкие фразы, например, с Упячки. Я могу считать себя идиотом?

Ах-ха, я идиот наполовину! У меня на одном из 4х почтовых ящиков пароль wordpass!!!*Хотя он мне нафиг не нужен. А на нужном пароль цифробуквенный, 7 букв 1 цифра *

UPD: А все пароли я храню в текстовом файле на столе на дискетке. Все-равно ничего особо важного там нет. ПИН от кредитки у меня только в голове хранится

Так это вообще классический пароль. Даже в банках.

Алекс, ты слишком строг к обычным юзерам. Кто в основном пользуется социальными сетями? Программисты? Сисадмины? Да в основном бухгалтерши и прочий офисный планктон.

Идиоты прежде всего программисты этой социальной сети, которые принимают такие простые пароли без БОЛЬШИХ КРАСНЫХ предупреждений.

Ага. Давайте я угадаю. Возле дискетки с паролями у вас ТОЖЕ рядом лежат ещё две дискетки с ключами клиент-банка? )))))

Интересно, эти социальные сети писали студенты из Индии? Вроде бы не так и трудно поставить проверялку сложности введённого пароля, ан нет. Неужто заговор?

Много лет назад один мой знакомый, проверил програмку, осуществлявшую подбор паролей, на аккаунтах сотрудников своего весьма респектабельного университета.   Результат был примерно такой же: взломалось где-то 80% паролей.  
Мораль: Пользователь в том, что он идиот не виноват, (и, вообще быть идиотом - это неотъемлемое право пользователя). В том, что Пользователь идиот виноват Админ,   (в данном случае администрация социальных сетей). Необходимо просто при регистрации осуществлять проверку стойкости паролей.

Дык юзеры-то идиоты, а проверки могут сократить их приток. А ведь идиоты кликают на баннеры гораздо чаще нормальных людей - выйдет убыток владельцам сайта.

Приведу в пример себя как пользователя (немного саморекламы ).
Моя жена купила микроволновку фирмы Х, с сотней функций. Как вы думаете, при разогреве лапши, каши, котлеты я использую толстый мануал по выствлению температуры, мощности и прочих парообработок? Нет, я несколько раз жму на таймер "+30 сек" и удовлетворенно ем разогретое блюдо.

А вот если бы в микроволновке от этого стояла защита, я бы полез за мануалом как минимум...

Я позавчера был  в соседнем городе с целью обслуживания достаточно крупной конторы с сетью магазинов.  На паре компьютеров с доступом из интернета пароли на базы 1С были 1 (одна единичка).  

Есть программки, запоминающие содержание форм на  странице и вставляющие это содержание одним кликом мышки. А некоторые ещё  и  предлагают сгенерировать пароль вида E4@vz6u2$*2vD4H. Понятно, что такой пароль самому запомнить невозможно, но это и не требуется, пусть программа сама и помнит. А на случай краха системы  каждый пароль старательно записываю в бумажный блокнот, отдельная  страничка на каждый сайт.  Одно плохо, если начнут пытать, не смогу ничего вспомнить.

А еще такую проверку: http://bash.org.ru/quote/399755

Интересно, почему qwerty не на первом месте?

Введите пароль: пароль Где то в кино по-моему была даже такая шутка.

Меня больше всего удивило, что, во-первых, "7777777" опережает "1111111", а во-вторых -- что там по СЕМЬ символов, а не по шесть (ведь минимально требуемая длина -- обычно как раз 6 символов).

Кстати, помнится, один из паролей, которые при подборе использовал знаменитый червь Морриса-младшего -- "cretin". Жаль, тогда не опубликовали статистику его встречаемости

Ага, поставил я недавно в одну контору OpenBSD в качестве сервера электронной почты, и дал возможность самим юзерам штатными средствами менять себе пароль (поставил /usr/bin/passwd в качестве shell'а). Ну и что вы думаете? Правильно, там такие драконовские правила на стойкость паролей, что ни один из юзеров не смог самостоятельно себе пароль поменять -- всё, что они сходу придумывали, проверку не проходило. Пришлось ставить всякие хитрые комбинации, которые за юзеров теперь помнят их mail-клиенты...

Один-в-один моя ситуация! Купил себе в своё время навороченную самсунговскую микроволновку, но в 90% случаев пользуюсь только кнопкой "+30" . Остальные ~10% -- когда надо разогреть какую-то замороженность, там приходится-таки ставить мощность и время. А вот как пользоваться функцией авторазморозки -- так за пять лет и не удосужился прочитать

psL, "Без вины виноватый" http://exler.ru/films/02-02-2001.htm

Мне с башорга вот эта история очень нравится:

"поставил пароль на компе на работе, под клаву положил листочек с неправильным паролем, пусть мучаются)))"

Помнится, в 80е - 90е годы на ж/д вокзалах нашей необъятной родины были такие автоматические камеры хранения. Там, насколько я помню, пароль на вскрытие состоял из одной (первой) буквы и трех цифр. И ведь не было никакой проверки на стойкость! Каждый извращался, как мог. Их, конечно, вскрывали, но не очень часто. Так что надежность пароля - личное горе пользователя.

В этих словах проступает бывший программист. Конечно, легче всего проблему списать на массовый идиотизм пользователей, чем на недостатки системы, при которой несмотря на терабайты компьютерной памяти пользователей вынуждают помнить ненужную им информацию.

Я пользуюсь. Безопасно. А что?

Наверное потому, что "семь семерок" запомнить легче чем "шесть семерок"


+1 как говорится.

очень часто password = username

А я училась быть "грамотным юзером" (ещё не имея дома ни инета, ни даже компа), по статье в журнале "Молоток". Там было предложено создавать себе пароли вида "чтобы враг не догадался, а запомнить легко". Смысл прост: любое слово на русском языке (более 6 букв) набирается на клавиатуре при включенной английской раскладке. Тогда для меня это было откровением. Сейчас и это не годится. Приходится очень экзотичные (читай, малознакомые большинству) русские слова мешать с цифрами.

Можно еще писать такие фразы с ошибками. Например "Вам низачто не догодаться"

вообще-то для криптостойкости, серьездная система сама должна генерить юзерский пароль

для прочих домашних радостей, я не вижу причин глумится над пользователем, который использует простой пароль. ибо потеря данных от того что он сам его забудет превышает потери от его получения злоумышленником.

Кстати, простейшая система безопасности, удваивающая время следующей попытки ввода пароля
(первая попытка через секунду, вторая через 2 секунды, третья через 4 секунды и так далее...) сводит на нет все усилия переборщиков паролей, даже при тупейших юзерах.

Кстати, ограничение на длину пароля тоже порочны, 95% паролей состоят из этих 4-6-8символов...

Во блин, а я с первых дней в интернете так делал, причём сам догадался. Правда, пришлось отойти от этой практики, когда стал пользоваться ПунтоСвитчером

Делюсь отличным способом составления паролей для сайтов. Получится так, что запомнить надо будет только один пароль для всех сайтов. Для начала составляете обычный пароль, можно простой, например, "red". Потом нужно взять название сайта и прибавить к нему пароль, получится "exler.rured". Потом нужно взять md5-хэш от получненной строки. Взять можно множеством способов, можно использывать специальную программу Mdpass ( http://best-soft.ru/programs/1989.html ). И вот мы получили хороший, криптографически стойкий пароль, который можно использывать на сайтах. А запомнить придется только простое слово "red".

Ага, тоже вариант. Только я с большим трудом могу написать фразу с ошибкой специально.

Вот по этой же причине и мне пришлось отказаться от разных if[vfns и rke,ybrf.

Чем-то напоминает историю про номер паровоза, рассказанную солдатом Швейком.

Самый простой способ - это программа Робоформ. Запоминать не надо ничего, кроме единственного пароля к самой программе.

Идиоты программисты социальных сетей, которые пароли пользователей держат в базе в не зашифрованном виде. У 90% пользователей пароль на все ресурсы один, и любой сотрудник соцсети,   без труда получает доступ к почте пользователя, а через почту и аську спереть можно, и все остальное.

3rb:Кто сказал что в социальных сетях пароли хранятся не зашифрованными?

А ставить проверку криптостойкости в социальных сетях себе дороже. Отток клиентов обеспечен. Так как половина не вспомнит что она там вводила криптостойкого. A им это надо?

Блин, прийдется поменять код на чемоданах (с) Космобольцы

Ламеры, блин. Где root и admin ??

я, обычно, в качестве пароля использую первые буквы каждого слова из какого-нибудь стихотворения. к примеру -- vlrevlor -- в лесу родилась елочка, в лесу она росла...

И запомнить просто, и не подберешь... Ну и какие-нибудь цифры добавляю простые, либо в начале, либо в конце. Номер квартиры, к примеру...

К UPD: Вам пока везёт, без шуток -  у меня родствсенник этим летом после сильного стресса забыл начисто все пины своих карт, как распоследний Джейсон Борн. Причём, пользовался он картами ежедневно, даже на кончиках пальцев помнил комбинации, и более того, пины сам назначал, руководствуясь логикой. А тут эти четыре цифирки из головы вылетели не то что напрочь, а совсем вчистую. И записано не было нигде.  В итоге,  могу сказать будучи в курсе эпопеи смены пинов - с некоторыми известными банками это не так уж быстро. Не говоря уже о том, что по закону подлости как раз в тот момент сбоя памяти человеку понадобился нал с дебетовок. Вспоминая это, я теперь ОЧЕНЬ не советую друзьям держать что либо "только в голове" )) Это касается и пинов карт, и пинов симок, и так далее. Очень уж тонкая штука, этот  наш мозг.

Треть пользователей социальных сетей идиоты. Остальные 2/3 - параноики. Как страшно жить.

В конторе, где я работаю, новым сотрудникам админы по умолчанию ставят пароль: P@ssw0rD.
На мой взгляд, вполне жизнеспособная идея: можно придумывать себе в качестве пароля достаточно простые слова, но букву "а" заменять на "@", а "о" на "0", например. Если немножко включить воображение, то и другим буквам символы подберутся.

Я подбирается программой с со словарной базой за пару минут.

Уверен что 90% этих людей просто нас№№ть если украдут их пароль.
У меня есть 3 сложных пароля для нужных вещей. Типа основной ящик мыла, аська, акаунт для кредитки и т.д.
И наверно десятки мест(если не сотни) где стоит пароль 1234. Ибо каждый идиот считает своим долгом попросить тебя зарегиться и типа я буду помнить все эти десятки разных паролей от сотен мест куда я зайду 1 раз в 3 года? Да ну нах!


А еще прежде ИДИОТЫ программисты которые начинают просить что бы пароль был скажем не меньше 8 символов, обязательно буквы+цифры и начинаться с буквы + чувствительны к реестру.
О ДА! Этот Урюпинский форум "мега-Урюп-хацкер" на котором по невероятному стечению обстоятельств выложили кейген, мне нафиг не сдался 100 лет. Но блин что бы качнуть надо обязательно зарегаться! А админ там мега-фанат безопасности! И ты сидишь как дурак читаешь особенности местного паролесоздания.
В итоге получается ник Afiwbvp7 и пасс Fasd9jf301y что бы только отстали и конечно такие пароли не входят в "Идиот-топ 10" эти "типа" люди которые заботяться о безопасности!

например "23424124234" - мой акк на youtube пас примерно такой же. Безопасность это конечно хорошо, но давайте дадим людям самим решать какие пароли ставить.

Кстати, Алекс предоставил топ10 англоязычных паролей. Как Вы думаете каким бы был топ10 в русскоязычном варианте?

замени
password = пароль
qwerty = йцукен

Заехал как-то к жене на работу (ну я и сам там периодически подкармливаюсь, поэтому меня там хорошо знают). Она на обеде, сижу, жду. Мне сотрудники жалуются, что интернет у них вылетел, спрашивают - "помочь можешь"? Ну что ж, думаю, попробую посмотреть, чё тут происходит.
Не буду вдаваться в технические подробности, скажу лишь, что шлюзом в инет служит обычный несколькопортовый АДСЛ-модем, и он-то и заглючил (DHCP, причём очень конкретно). Полез в него, и как вы думаете, какой логин и пароль был? конечно "admin - admin" ;о)))

Пользователи не идиоты, просто человек — не машина, и работать с паролями ему не свойственно. Скорее идиотами являются все гики, программисты и дизайнеры, которые до сих пор не смогли это понять и придумать более изящных схем идентификации и аутентификации. Двадцать первый век на дворе, а до OpenID только-только начали додумываться. Технически возможностей выше крыши, было бы желание. А пока желания нет, гики будут продолжать генерировать пароли программами и записывать на бумажках, а все остальные, нормальные люди, — использовать "пароли" вроде этих.

Lionel: Зависит от популярности форума, но часто в таких местах срабатывает BugMeNot.com

Вы не путайте, молодой человек! йцукен - это распространённый ник. А вот теперь мне ясно почему пароли требуют именно с четырёх символов. А не с трёх.

А у меня глупый вопрос: каким способом добывались пароли?
Этот "анонимный сбор" попахивает уголовной статьёй.

А кто-то тут уже говорил о том, что за взлом аккаунта можно получить срок? Свежий прецедент в Ижевске, если не ошибаюсь с городом,  как раз в тему.

Если бы они применяли систему шифрования паролей, они не смогли бы сделать такую статистику.

Потом народ жалуется что у них аську украли, после того как они зарегистрировались в супер пупер бесплатном порно архиве.

Так я же и не спорю. Потому и говорю, что позже начала всяческие извращения навроде цифр посреди текста. И в итоге пароль из 6-7 букв превращается в нечто 15-тизначное.