{"id":671,"title":"\u0426\u0438\u0444\u0440\u043e\u0432\u044b\u0435 \u0445\u0443\u0434\u043e\u0436\u043d\u0438\u043a\u0438 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442 \u043e \u0441\u0432\u043e\u0438\u0445 \u043f\u0440\u043e\u0435\u043a\u0442\u0430\u0445","url":"\/redirect?component=advertising&id=671&url=https:\/\/tjournal.ru\/promo\/362125-ideya-igry-v-tom-chtoby-provesti-kak-mozhno-bolshe-vremeni-v-virtualnoy-realnosti-ne-pokidaya-ee&hash=62ce8878235b6abb1432347419d781c5d53508c44085616a380a7490ceafc480"}

Полупустое множество Статьи редакции

Пользователи «Хабрахабра» проанализировали украденные хакерами пароли Gmail, «Яндекса» и Mail.ru

15 сентября на блогосервисе «Хабрахабр» появился подробный анализ всех баз данных с паролями от почтовых ящиков Gmail, «Яндекса» и Mail.ru, попавших в сеть в начале прошлой недели. 

Авторы публикации попытались разобраться, насколько надёжными были утекшие пароли, есть ли в действиях хакеров признаки фишинговой атаки, и были ли архивы с персональными данными собраны из разных источников в разное время, как утверждают пострадавшие интернет-компании.

Сколько паролей на самом деле было похищено

Выложенные хакерами базы с логинами и паролями кажутся большими лишь на первый взгляд. «Официальное» количество похищенных данных затрагивает почти пять миллионов аккаунтов Gmail, около 1,2 миллиона аккаунтов «Яндекс.Почты» и более 4,5 миллиона ящиков на Mail.ru.

Опубликованная информация отличается сильной «зашумлённостью», отмечают составители отчёта. Во многих электронных адресах и паролях присутствуют пропуски, разделители и другие недопустимые символы. Простая проверка паролей на валидность показывает, что многие из них не подходят к почте, будучи больше или меньше установленных почтовыми сервисами ограничений.

Отдельный анализ паролей из базы Gmail, к примеру, показал, что реально действующим на момент проверки являлся только один процент адресов в архиве. И даже эти ящики были чаще всего заброшены своими создателями и практически не использовались в течение последнего года.

Насколько надёжными были похищенные пароли

Изучив длину всех украденных паролей, пользователи «Хабрахабра» установили: большая их часть содержит в себе меньше восьми символов, что автоматически делает их крайне неустойчивыми для различного вида так называемых «переборных атак».

Составленная авторами таблица надёжности паролей показала, что самые слабые пароли были у пользователей Gmail и «Яндекса» (наибольшие значения по категориям «очень слабый»и «слабый» пароль на второй диаграмме ниже).

Что показала проверка паролей по словарям

Авторы публикации также проверили попавшие в сеть данные с помощью доступных «словарей паролей» (password dictionary), взяв первые несколько словарей, найденных в выдаче Google.

При выборке в 10 тысяч почтовых ящиков в 30 общедоступных словарях удалось найти 13,5 процента паролей Gmail, 13,4 процента паролей «Яндекса» и 9,6 процента паролей Mail.ru.

Что ещё удалось обнаружить в ходе анализа

Большая часть электронных адресов, выложенных хакерами, относились в трём крупным сервисам — Gmail, «Яндекс.Почта» и Mail.ru. Однако в базе можно было обнаружить и значительную долю ящиков, зарегистрированных на Rambler.

В этих и других аккаунтах составители отчёта нашли одинаковый спам, свидетельствовавший о том, что информация о них могла быть получена в ходе фишинговой атаки.

Некоторые адреса, зарегистрированные на почтовом сервисе Mail.ru, привели к страницам с раздачами на различных геймерских форумах, где части обнародованных в начале сентября баз с паролями уже «гуляли» ранее.

Итоги исследования

В результате, заключают авторы, наиболее вероятной является версия о том, что базы с паролями — это всего лишь компиляция данных, полученных из различных источников в различное время. Именно так объяснили утечку информации своих пользователей интернет-компании.

Большая часть опубликованных паролей в целом оказались невалидными, так как не соответствуют даже формальным синтаксическим требованиям, применяемым к таким словам.

Несмотря на повышенное внимание СМИ к опубликованным хакерами архивам, всё это скорее напоминает попытку создания инфоповода, нежели реальную опасную атаку на пользователей электронной почты, говорится в записи на «Хабрахабре».

{ "author_name": "Виктор Степанов", "author_type": "self", "tags": ["\u044f\u043d\u0434\u0435\u043a\u0441_\u043f\u043e\u0447\u0442\u0430","\u044f\u043d\u0434\u0435\u043a\u0441","\u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u0430\u044f_\u043f\u043e\u0447\u0442\u0430","\u0445\u0430\u043a\u0435\u0440\u044b_\u0432\u044b\u043b\u043e\u0436\u0438\u043b\u0438_\u043f\u0430\u0440\u043e\u043b\u0438_\u043e\u0442_\u043c\u0438\u043b\u043b\u0438\u043e\u043d\u043e\u0432_\u043f\u043e\u0447\u0442\u043e\u0432\u044b\u0445_\u0430\u043a\u043a\u0430\u0443\u043d\u0442\u043e\u0432","\u0445\u0430\u043a\u0435\u0440\u044b","\u0445\u0430\u0431\u0440\u0430\u0445\u0430\u0431\u0440","\u0443\u0442\u0435\u0447\u043a\u0438_\u043f\u0430\u0440\u043e\u043b\u0435\u0439_\u043e\u0442_gmail_\u0438_\u043f\u043e\u0447\u0442\u044b_\u044f\u043d\u0434\u0435\u043a\u0441","\u0441\u0442\u0430\u0442\u044c\u044f","\u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439_\u043f\u0430\u0440\u043e\u043b\u044c_\u0434\u043b\u044f_\u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u043e\u0439_\u043f\u043e\u0447\u0442\u044b","\u043a\u0438\u0431\u0435\u0440\u043f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u044c","\u043a\u0430\u043a_\u0441\u043c\u0435\u043d\u0438\u0442\u044c_\u043f\u0430\u0440\u043e\u043b\u044c_\u043e\u0442_\u043f\u043e\u0447\u0442\u044b","\u0430\u043d\u0430\u043b\u0438\u0437_\u0443\u0442\u0435\u043a\u0448\u0438\u0445_\u0432_\u0441\u0435\u0442\u044c_\u043f\u0430\u0440\u043e\u043b\u0435\u0439","mail_ru_group","mail_ru","google","gmail"], "comments": 16, "likes": 22, "favorites": 0, "is_advertisement": false, "subsite_label": "tech", "id": 52337, "is_wide": true, "is_ugc": true, "date": "Mon, 15 Sep 2014 15:50:50 +0400", "is_special": false }
0
16 комментариев
Популярные
По порядку
Написать комментарий...

Активный франт

19

Кстати, вчера выяснил, что у меня по дому ползает крайне стойкий к подбору генератор случайных паролей. Сажаешь за комп и пароль, длиной в 30-50 символов готов. Ни один алгоритм не сравнится к ним

Ответить

Должен Артем

Активный
16

9 месяцев на изготовление долговато будет.

Ответить

Комментарий удален

Октябрьский велосипед

Anton
1

коты прекрасно справляются с этой задачей.
их ждать 9 месяцев не нужно.

Ответить

Столичный ключ

Активный
3

Вы недооцениваете моего кота. Он может выдавать пароль длиной пропорциональной количеству часов сна на клавиатуре. Энтропия максимальна.

Ответить

Конституционный шмель

10

Нашисты купили базу ящиков с паролями и теперь нас ждёт очередной чудо-законопроект?

Ответить

Активный франт

7
Ответить

Органический Гоша

Активный
6

- «Скажи пароль и проходи»… А как по-эльфийски будет пароль?
- Der Parol.

Ответить

Порядочный лолипоп

Активный
0

- Поэтому я приклеела стикер на монитор!

Ответить

Порядочный лолипоп

Dmitry
1

пардон, приклеИла

Ответить

Зеленый щит

1

Вы не правы. На яндексе валидны пароли <6 символов, если они созданы до введения ограничений

Ответить

Внешний шар

–4

Скоро ВК будут взламывать.

Ответить

Последний Артем

–4

слив ящиков Gmail мб и фэйком от самой компании, чтобы больше народу пользовалось двойной аутентификацией

Ответить

Жилищный франт

Rom
0

У Яндекса вообще нет этой двойной аутентификации.

Ответить

Комментарий удален

Усталый Мурод

–7

У меня вообще пароли читаются на русском, но пишутся на енглише. Ну и кто теперь оригиналити?

Ответить

Истинный Артем

Никита
4

Простая смена раскладки не лучший метод, особенно если пароь - простое слово.

Ответить

Погибший Илья

Максим
1

 только если раскладка не дворак

Ответить
Обсуждаемое
Новости
Умер муж Елизаветы II принц Филипп
Ему было 99 лет.
Разборы
Что такое карательная функция пенитенциарной системы и почему месть преступнику не является функцией государства
Сказали мне тут, на ТЖ, что, якобы, месть преступнику — одна из функций исправительной системы, наряду с изоляцией заключённых от общества и их исправлением. Я, мягко говоря удивился, ведь и в школе, и в университете меня учили тому, что задача исправительной системы, не месть, а, внезапно, исправление, и государство с давних времён жёстко…
Новости
Голландский телеканал обнародовал разговоры обвиняемых в крушении Boeing MH-17. В них обсуждают план эвакуации «Бука»
Ранее не публиковавшиеся переговоры опровергают утверждения фигурантов дела.
Популярное за три дня
Интернет
У этого блога была только одна задача. И он её провалил
«Принц Филипп сегодня не умер».
Интернет
«Открытые медиа»: Rutube запретил загрузку фильма ФБК о «дворце Путина» из-за «нарушения авторских прав»
Ролик про дом, в котором жил Навальный в Германии, модерацию прошёл.
Интернет
Советский «Властелин Колец» добрался до Запада: телеспектакль разбирают на мемы, особенно — про советского Гэндальфа
Нельзя так просто взять и ради мемов заменить в классических сценах «Властелина колец» голливудских актёров на советских? Как оказалось, можно.

Комментарии

null