Вот уже восемь лет подряд эксперты компании SplashData составляют список 100 самых худших паролей года. Так они надеются привлечь внимание к проблеме, полагая, что подобная статистика заставит пользователей задуматься о безопасности и осознать, что комбинации вроде «123456» — это совсем небезопасные пароли. Но даже после многочисленных утечек данных, взломов, атак шифровальщиков и других инцидентов, список возглавляют все те же «password» и «123456».

Как и в прошлые годы, аналитики изучили более 5 000 000 паролей, «утекших» в широкий доступ во время различных инцидентов. К сожалению, по сравнению с прошлыми годами список изменился мало, пользователи по-прежнему охотно используют простейшие комбинации вроде «qwerty» и «password», а также имена знаменитостей (например, в этом году в топ-25 появилось слово «donald»), попокультурные термины, различные бренды и тому подобное.

По подсчетам SplashData, порядка 10% пользователей применяют хотя бы один из паролей, вошедших в список худших в этом году. Еще 3% пользователей применяют самый плохой пароль, то есть «123456».

В итоге список 25 худших паролей 2018 года выглядят следующим образом:

Не менее интересное исследование, посвященное худшим паролям года, опубликовали специалисты компании Dashlane. Они составили список самых крупных просчетов в данной области. Десятка самых позорных случаев 2018 года, по версии Dashlane, выглядит так:

1. Канье Уэст. Продемонстрировал всему миру свой пароль («000000»), разблокировав телефон на встрече с президентом Дональном Трампом, перед десятками телекамер.
2. Пентагон. Аудит Счетной Палаты США выявил, что менеджмент учетных данных находится на столь низком уровне, что команде удалось подобрать пароль администратора к ряду сиситем Пентагона всего за 9 секунд. Судя по всему, никто не потрудился сменить учетные данные по умолчанию.
3. Владельцы криптовалют. Когда цены на криптовалюты подскочили в начале 2018 года, многие пользователи, покупавшие или добывавшие токены раньше, поняли, что не помнят паролей от своих кошельков. В попытках вспомнить, пользователи прибегали к самым странным практикам, и СМИ рассказывали даже о попытках нанять специалистов по гипнозу.
4. Nutella. В день худших паролей (да, существует и такой) отличилась компания Nutella, порекомендовавшая своим читателям в Twitter использовать более стойкие и надежные пароли. Например, «Nutella».
5. Британские юристы. ИБ-специалисты обнаружили в даркнете более миллиона комбинаций корпоративных email-адресов и паролей почти 500 британских юридических фирм. Хуже того, в большинстве случаев пароли хранились в формате простого текста.
6. Штат Техас. Информация о 14 000 000 избирателей из Техаса была свободно доступна в онлайне, на сервере, не защищенном паролем.
7. Сотрудники Белого дома. Один из сотрудников Белого дома записал свои логин и пароль на официальном бланке, а затем забыл бумагу на автобусной остановке в Вашингтоне.
8. Google. Студент-инженер из Индии сумел получить доступ к спутнику телевещания, залогинившись через административную страницу Google, оставив пустыми поля для ввода логина и пароля.
9. ООН. Сотрудники ООН используют в работе Trello, Jira и Google Docs, однако не совсем думают о безопасности и многие документы не защищены паролем. То любой человек, который знает ссылку, может получить доступ к потенциально секретным данным.
10. Кембриджский университет. Случайно забытый на GitHub пароль (в формате простого текста) позволил узнать личные данные миллионов пользователей Facebook, которые использовали приложение myPersonality, созданное исследователями Кембриджа.