все возможные 4 значные коды

Сколько есть вариантов комбинаций из 4 цифр?

Очень интересный вопрос, а именно сколько вариантов комбинаций можно получить из четырёх цифр. Чтобы ответить на этот вопрос достаточно просто посчитать, но нужно знать как правильно это делать. Итак, сегодня мы разберём, как правильно считать комбинации цифр, и не только с четырьмя цифрами, но и с другими. Чтобы вы смогли посчитать любое количество вариантов. А также ответим на вопрос, сколько же вариантов можно получить.

Итак, у кодового замка четыре цифры, каждая из цифр имеет 10 вариантов, потому что каждая колёсико может быть от нуля до девяти, а значит это 10 вариантов в каждом колёсике. Конечно цифры могут повторяться.

Если в замке четыре цифры, то это всё можно найти количество комбинаций по формуле. берём n — это количество чисел, их 10. И возводим 10 в 4 степени, так как замок четырёх разрядный. 10 в четвёртой степени = 10 000 комбинаций.

Итак, со всеми другими замками точно также. Если там три цифры, значит 10 в третьей степени, если необходимо пять цифр, значит 10 в пятой степени.

Можно посчитать и по другой формуле, если цифра ноль входит в те знаки, которые есть могут быть кодом замке, то количество чисел будет больше нуля или равно 0. Таким образом можно перебирать цифры начиная с 0000, потом 0001 итд. Конечно, в итоге вы придёте к числу 9999, а значит таких комбинаций как раз и получилось 9999, но так как у нас ещё есть число ноль мы прибавляем его, как число, и получаем, что всего комбинация 9999 + 1 = 10 000 комбинаций.

Также во внимание можно брать подсказки, например, если число 0 у вас не входит в цифры, то начинается с одного, то получается не 10 цифр, а девять. Соответственно, мы берём 9 в четвёртой степени, то получает 6561.

Или например, два крайних ролика разные. то возникают другие варианты, либо ролики у всех разные цифры, тогда мы вычитаем такие цифры, как 9999, либо 1111, потому что цифры не должны повторяться, либо цифры на правом ролике не должны совпадать с цифрами, на левом тогда максимальное количество комбинаций 25, а во втором случае для права ролика, получается только девять возможных комбинаций.

Также во внимание можно взять, что по статистике люди часто выбирают коды с четными цифрами, например, 2684 итд. Редко встречаются и нечетные комбинации, например, 1357. Также ещё чаще встречаются комбинации 1111 и 0000.

Если высчитывать по времени, то для подборки, если у вас 10000 комбинаций, то если вы будете тратить по 10 секунд, на каждый код уйдёт более 27 часов и подбором данном случае пользоватся будет очень тяжело.
Ну если нужно открыть замок, то можно почувствовать разболтанность колёсика, если этот замок открывали часто.

Источник

Анализ PIN-кодов(часть 1)

Недавно мой хороший друг lan скинул мне шуточную новость. В заголовке новости было написано что-то типа:
“PIN-коды всех кредитных карт в мире похищены!”

Недавно мой хороший друг lan скинул мне шуточную новость. В заголовке новости было написано что-то типа:

“PIN-коды всех кредитных карт в мире похищены!”

В самой же новости было просто перечислены украденные PIN-коды: 0000 0001 0002 0003 0004…

Новость lan’а рассмешила меня. В этот же день, но чуть позже, я прочитал вот этот комикс на XKCD. После прочтения двух забавных историй у меня и появилась идея написать статью.

− Зацени мой номерной знак!

− Никто не сможет правильно запомнить номер моей машины! Я могу совершить любое преступление, какое только захочу!

− Номер машины вора вроде бы полностью состоял из ‘1’.

− А! Так это тот самый парень!

− Его адрес записан в блокноте, который лежит в патрульной машине.

Какой PIN-код встречается реже всего?

Всего из 10 цифр можно составить 10 000 различных четырехзначных PIN-кодов. Из этих десяти тысяч, какие PIN-коды встречаются реже всего?

Какой из 10 000 PIN-кодов люди используют реже всего?

Какой из 10 000 PIN-кодов люди используют чаще всего?

Если бы перед вами стояла задача найти PIN-код кредитной карточки за кратчайшее время, то в каком порядке вы бы перебирали все возможные PIN-коды?

Если бы вас спросили, какой четырехзначный PIN-код встречается реже всего, то что бы вы ответили?

Все эти вопросы тесно связаны с вышеупомянутым комиксом с XKCD. В комиксе план преступника провалился, потому что его номерной знак был слишком уникальным и, как следствие, слишком запоминающимся. Какой номерной знак запоминается тяжелее всего? Спросите любого знакомого шпиона J, как лучше всего затеряться в толпе? Ответ будет вполне ожидаемым: быть “нормальным” и ничем не выделяться.

Всем известно, что людям плохо удается придумывать случайные пароли. Я надеюсь, что после прочтения статьи вы станете чуточку аккуратнее выбирать ваш следующий PIN-код.

Вам все еще интересно, какой PIN-код встречается реже всего?

А какой самый популярный?

Если да, то читайте дальше…

Настоящая статья не является библией хакеров и не предназначена для использования в качестве средства, инструмента или источника информации для потенциальных воров в их грязных делишках. Информации, которую я раскрою, будет достаточно только для подтверждения моей точки зрения и для примеров. Я не хочу, чтоб моей информацией воспользовались скрипт-кидди. Пожалуйста, не тратьте свое время и не спрашивайте у меня, какую именно базу данных я использовал, я вам все равно не отвечу. И я не собираюсь продавать, дарить или публиковать исходные данные – даже не просите!

Доступа к базе данных PIN-кодов кредитных карт у меня, конечно же, нет. Я пойду немного по другому пути. Источником будут служить данные из опубликованных/раскрытых таблиц паролей и из других утечек баз данных.

Утечки баз данных с паролями

За последнее время было найдено множество уязвимостей безопасности в базах данных с паролями: некоторые уязвимости получили широкую огласку, другие – не очень. Но у всех утечек есть одна общая черта: за них пришлось заплатить высокую цену, складывающуюся как из непосредственных штрафов, так и из косвенных убытков, связанных с ухудшением репутации фирмы.

Лично я не позволю обвести меня вокруг пальца даже один раз, не говоря уж о двух… Скажу даже больше: любой разработчик, пароли которого хранятся в базе данных незашифрованными, не имеет права спать спокойно, пока он не исправит это чудовищное недоразумение. Более того, вы просто обязаны учиться на чужих ошибках и не допускать, чтобы обнаруженная уязвимость не была обнаружена еще один раз у вас.

Если вы, как работник компании, знаете, что к защите базы данных с паролями ваших клиентов подошли поверхностно, тогда идите, а лучше бегите к вашему начальству, изо всех сил колотите в дверь кулаками и настаивайте, чтобы уязвимость была исправлена как можно быстрее. Не ждите, пока не станет уже слишком поздно. Стойте на своем. Будьте приставучими, как репей.

Сейчас я не пытаюсь разрекламировать себя, как консультанта (хотя мои услуги достаточно недорогие по сравнению со стоимостью адвокатской защиты, коллективного иска, штрафов и санкции, оттока капитала и удара по репутации). Найти хорошего специалиста по безопасности, который поможет вам, сейчас не проблема (если вы не знаете, откуда копать, то я бы посоветовал вам начать со специалистов CISSP).

Вывод: защита должна быть многоуровневой. И простое шифрование таблицы с паролями пользователей позволит защитить ваших клиентов, даже если база утечет. Шифрование не защищает от всех возможных атак, но и вреда оно тоже не приносит. Какой тогда смысл хранить пароли незашифрованными?

Вернемся к выборке

Из всех баз данных с паролями учетных записей я выбрал только те записи, в которых пароль пользователя состоял из 4 цифр 2. Результаты выборки были объединены в отдельную базу данных четырехзначных паролей.

Отсюда и далее мы будем считать, что четырехзначные пароли и PIN-коды это суть одно и то же.

Мне удалось найти около 3,4 миллиона четырехзначных паролей. Каждый из паролей представляет собой комбинацию из 4 цифр от 0000 до 9999.

Самый популярный пароль: 1234…

…просто поразительно, насколько популярен такой пароль. А что еще поразительнее, так это нехватка воображения у людей его выбирающих…

… 1234 составляет около 11% от 3,4 миллиона всех паролей.

Следующий по популярности четырехзначный пароль – 1111, около 6% от всей выборки.

Третье место занимает пароль 0000 с 2%.

Источник

Графические ключи так же предсказуемы, как пароли «1234567» и «password»

Xakep #269. Реверс-шелл на 237 байт

Многочисленные утечки данных не раз доказывали, что самые распространенные пароли (а также самые уязвимые), это всевозможные вариации на тему «password», «p@$$w0rd» и «1234567». Когда в 2008 году в Android появились графические ключи, казалось, они могут изменить ситуацию. Теперь становится ясно, что ситуация с графическими ключами мало отличается от ситуации с обычными паролями. Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Løge) провела исследование данной темы, в ходе защиты магистерской диссертации. Свой доклад под названием «Скажи мне кто ты, и я скажу тебе, как выглядит твой графический пароль» Лёге зачитала на конференции PasswordsCon в Лас-Вегасе.

Так как графически ключи еще сравнительно молоды, и собрать большое количество примеров реальных ключей «из жизни» затруднительно, выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP). Тем не менее, полученные на выходе данные оказались небезынтересны.

«Люди предсказуемы. В случае графических паролей, мы наблюдаем тот же подход, которым люди руководствуются при создании PIN-кодов и обычных буквенно-числовых комбинаций», — рассказала Лёге на конференции. ALP может содержать не менее 4 узлов и не более 9, что суммарно дает 389,112 возможных комбинаций. Так же как в случае с обычными паролями, число комбинаций возрастает экспоненциально, вместе с длиной графического ключа.

В целом, основные собранные данные таковы:

Лёге попросила опрошенных создать три разных ALP: для банковского приложения, для приложению для покупок и для разблокировки смартфона.
К сожалению, опрошенные мужчины и женщины, в подавляющем большинстве, создали ключи из 4-5 узлов. Наименее популярны у пользователей, по неясной причине, оказались пароли длиной 8 узлов, и даже пароли из максимальных 9 узлов набрали больше «голосов».
На иллюстрации ниже верхняя колонка – пароли мужчин, нижняя – пароли женщин:

Мужчины в целом придумывают более сложные и длинные пароли, чем женщины. Самые сложные пароли – у молодых мужчин. Иллюстрация ниже демонстрирует разницу в сложности паролей:

Однако количество узлов – не единственный важный фактор для создания надежного графического ключа. Специфическая последовательность соединения узлов также является ключевым моментом для такого пароля. Если присвоить узлам пароля числа, расположив их так же, как они расположены на клавиатуре обычного телефона, получится, что последовательность 1, 2, 3, 6 куда менее безопасна, чем 2, 1, 3, 6, которая меняет направление.
Мужчины и здесь выбирают более надежные комбинации, такие как последовательность 2, 3, 1. Женщины почти никогда не выбирают комбинации с пересечениями. Лёге отмечает, что людям, в целом, сложно запомнить паттерны высокой сложности.

Команда исследователей формализовала систему оценки сложности графических ключей еще в 2014 году, представив документ «Dissecting pattern unlock: The effect of pattern strength meter on pattern selection».
Опираясь на данную систему оценки надежности комбинаций, Лёге получила следующие цифры: самый ненадежный пароль среди опрошенных набрал 6,6 баллов, самый надежный – 46,8 баллов. Средняя надежность пароля составила 13,6 баллов.

Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее. Если атакующий, пытается взломать смартфон и знает имя жертвы, все становится совсем просто.

«Было очень забавно видеть, что люди используют ту же стратегию запоминания, к которой привыкли, используя численно-буквенные пароли. Тот же самый образ мысли», — рассказала Лёге. Выходит, если атакующим удастся собрать достаточно большое количество графических ключей, они смогут воспользоваться моделью Маркова, что значительно увеличит их шансы на успех. Лёге не стала фокусироваться на данном методе взлома в своем докладе из этических соображений.

В заключение Лёге дала ряд советов, как сделать ALP безопаснее. Во-первых, в графическом ключе стоит использовать большее количество узлов, что сделает пароль более сложным. Во-вторых, стоит добавить пересечений, так как они усложняют атакующим подбор комбинации и помогут запутать злоумышленника, если тот решил подсмотреть пароль через плечо жертвы. В-третьих, стоит отключить опцию «показывать паттерн» в настройках безопасности Android: если линии между точками не будут отображаться на экране, подсмотреть ваш пароль станет еще сложнее.

Источник

Генератор паролей онлайн

Генератор паролей создает 9 вариантов правильных и сложных для взлома паролей. Генерация паролей происходит онлайн, созданные пароли нигде не сохраняются. Если Вас не устраивают получившиеся пароли, просто нажмите на кнопку «Сгенерировать» для обновления списка паролей.

«По умолчанию» генератор паролей используют английские буквы, цифры и служебные символы. Благодаря простым и удобным настройкам Вы можете изменить списки символов, добавить свои, изменить длину пароля. Более подробные инструкции смотрите ниже, в разделе «Инструкции для генератора паролей».

Генератор паролей

Список паролей

Настройки генератора паролей

Исключения

Список используемых символов

Инструкции для генератора паролей

Генератор паролей создает пароли в реальном времени. Созданные пароли нигде не сохраняются и отображаются только на Вашем устройстве (ПК, планшете или смартфоне).

Каждый раз при изменении настроек, нажатии кнопки «Сгенерировать» или перезагрузке страницы создаются новые пароли.

«По умолчанию» для генерации паролей используются английские строчные и заглавные буквы, цифры и некоторые служебные символы. Для изменения списка символов используйте «Настройки генератора паролей»

Настройки генератора паролей

Длина пароля
Генератор паролей создает пароли длиной от 5 до 30 символов. Изначально генерируются пароли длиной 10 символов. Вообще, не рекомендуется использовать пароли длиной меньше 7 символов. Использование более длинных паролей рекомендуется для более стойкой защиты от взлома, но скорее всего будет неудобно для сохранения или запоминания.

Английские и русские буквы
Традиционно, для паролей используются английские (латинские) буквы, однако, можно использовать и русские. Русские буквы значительно повышают сложность паролей при попытке взлома путем перебора, но будьте осторожны, возможно, некоторые системы не поддерживают пароли, в составе которых есть кириллица. Рекомендуется предварительно проверить.

Цифры
Цифры в пароле должны быть обязательно. Наличие цифр в пароле улучшает качество пароля, при этом пароли с цифрами легче запоминаются.

Специальные символы
Пароли, в состав которых входят специальные символы, наиболее стойкие к взлому. Многие системы при регистрации требуют, чтобы в состав пароля обязательно входили служебные символы. Рекомендуем не пренебрегать использованием подобных символов и включать их в состав генерируемого пароля.

Исключения

Исключить гласные или исключить согласные
Используйте эти пункты дополнительных настроек если хотите исключить гласные или согласные буквы при генерации паролей.

Исключить похожие символы
Посмотрите на символы I, l, 1, | (ай, эль, единица, вертикальная черта). Такие буквы, символы и цифры очень похожи при написании, поэтому могут возникнуть ошибки при сохранении и последующем использовании пароля. Для того чтобы исключить подобные ошибки, воспользуйтесь этим пунктом настроек.

Другие настройки

Ссылка на генератор паролей
Если хотите отправить ссылку на «Генератор паролей» другу или опубликовать в социальных сетях, скопируйте адрес из специального окна находящегося в нижней части корпуса генератора. Вместе с ссылкой передаются и выбранные Вами настройки.

Источник

Популярные пароли 4 цифры

Xakep #248. Checkm8

Не секрет, что пользователи выбирают числовые пароли, используя характерные паттерны. В случае четырёхзначного PIN-кода очень часто указывается день рождения или год рождения.

До настоящего момента все исследования в этой области были фрагментарными, на основе относительно небольших выборок данных. Американская компания Data Genetics несколько дней назад опубликовала наиболее полный и масштабный статистический анализ PIN-кодов, использовав все доступные базы данных с паролями и отфильтровав их по цифровым комбинациям от 0000 до 9999. Общая база после применения фильтра составила 3,4 миллиона PIN-кодов.

Анализ позволил выявить несколько интересных фактов. Самым популярным PIN-кодом является 1234, его устанавливают почти 11% пользователей. На втором месте идёт 1111 (6%).

Частота№ 1123410,713%№ 211116,016%№ 300001,881%№ 412121,197%№ 577770,745%№ 610040,616%№ 720000,613%№ 844440,526%№ 922220,516%№ 1069690,512%№ 1199990,451%№ 1233330,419%№ 1355550,395%№ 1466660,391%№ 1511220,366%№ 1613130,304%№ 1788880,303%№ 1843210,293%№ 1920010,290%№ 2010100,285%

Двадцатка самых популярных комбинаций покрывает 26,83% всех паролей, хотя при нормальном статистическом распределении она составляла бы всего 0,2%. На следующей диаграмме показана кумулятивная частотность использования паролей.

Интересно также посмотреть на список самых редких PIN-кодов по всей базе.

Недавно мой хороший друг lan скинул мне шуточную новость. В заголовке новости было написано что-то типа:
“PIN-коды всех кредитных карт в мире похищены!”

Недавно мой хороший друг lan скинул мне шуточную новость. В заголовке новости было написано что-то типа:

“PIN-коды всех кредитных карт в мире похищены!”

В самой же новости было просто перечислены украденные PIN-коды: 0000 0001 0002 0003 0004…

Новость lan’а рассмешила меня. В этот же день, но чуть позже, я прочитал вот этот комикс на XKCD. После прочтения двух забавных историй у меня и появилась идея написать статью.

− Зацени мой номерной знак!

− Никто не сможет правильно запомнить номер моей машины! Я могу совершить любое преступление, какое только захочу!

− Номер машины вора вроде бы полностью состоял из ‘1’.

− А! Так это тот самый парень!

− Его адрес записан в блокноте, который лежит в патрульной машине.

Какой PIN-код встречается реже всего?

Всего из 10 цифр можно составить 10 000 различных четырехзначных PIN-кодов. Из этих десяти тысяч, какие PIN-коды встречаются реже всего?

Какой из 10 000 PIN-кодов люди используют реже всего?

Какой из 10 000 PIN-кодов люди используют чаще всего?

Если бы перед вами стояла задача найти PIN-код кредитной карточки за кратчайшее время, то в каком порядке вы бы перебирали все возможные PIN-коды?

Если бы вас спросили, какой четырехзначный PIN-код встречается реже всего, то что бы вы ответили?

Все эти вопросы тесно связаны с вышеупомянутым комиксом с XKCD. В комиксе план преступника провалился, потому что его номерной знак был слишком уникальным и, как следствие, слишком запоминающимся. Какой номерной знак запоминается тяжелее всего? Спросите любого знакомого шпиона J, как лучше всего затеряться в толпе? Ответ будет вполне ожидаемым: быть “нормальным” и ничем не выделяться.

Всем известно, что людям плохо удается придумывать случайные пароли. Я надеюсь, что после прочтения статьи вы станете чуточку аккуратнее выбирать ваш следующий PIN-код.

Вам все еще интересно, какой PIN-код встречается реже всего?

А какой самый популярный?

Если да, то читайте дальше…

Настоящая статья не является библией хакеров и не предназначена для использования в качестве средства, инструмента или источника информации для потенциальных воров в их грязных делишках. Информации, которую я раскрою, будет достаточно только для подтверждения моей точки зрения и для примеров. Я не хочу, чтоб моей информацией воспользовались скрипт-кидди. Пожалуйста, не тратьте свое время и не спрашивайте у меня, какую именно базу данных я использовал, я вам все равно не отвечу. И я не собираюсь продавать, дарить или публиковать исходные данные – даже не просите!

Доступа к базе данных PIN-кодов кредитных карт у меня, конечно же, нет. Я пойду немного по другому пути. Источником будут служить данные из опубликованных/раскрытых таблиц паролей и из других утечек баз данных.

Утечки баз данных с паролями

За последнее время было найдено множество уязвимостей безопасности в базах данных с паролями: некоторые уязвимости получили широкую огласку, другие – не очень. Но у всех утечек есть одна общая черта: за них пришлось заплатить высокую цену, складывающуюся как из непосредственных штрафов, так и из косвенных убытков, связанных с ухудшением репутации фирмы.

Лично я не позволю обвести меня вокруг пальца даже один раз, не говоря уж о двух… Скажу даже больше: любой разработчик, пароли которого хранятся в базе данных незашифрованными, не имеет права спать спокойно, пока он не исправит это чудовищное недоразумение. Более того, вы просто обязаны учиться на чужих ошибках и не допускать, чтобы обнаруженная уязвимость не была обнаружена еще один раз у вас.

Если вы, как работник компании, знаете, что к защите базы данных с паролями ваших клиентов подошли поверхностно, тогда идите, а лучше бегите к вашему начальству, изо всех сил колотите в дверь кулаками и настаивайте, чтобы уязвимость была исправлена как можно быстрее. Не ждите, пока не станет уже слишком поздно. Стойте на своем. Будьте приставучими, как репей.

Сейчас я не пытаюсь разрекламировать себя, как консультанта (хотя мои услуги достаточно недорогие по сравнению со стоимостью адвокатской защиты, коллективного иска, штрафов и санкции, оттока капитала и удара по репутации). Найти хорошего специалиста по безопасности, который поможет вам, сейчас не проблема (если вы не знаете, откуда копать, то я бы посоветовал вам начать со специалистов CISSP).

Вывод: защита должна быть многоуровневой. И простое шифрование таблицы с паролями пользователей позволит защитить ваших клиентов, даже если база утечет. Шифрование не защищает от всех возможных атак, но и вреда оно тоже не приносит. Какой тогда смысл хранить пароли незашифрованными?

Вернемся к выборке

Из всех баз данных с паролями учетных записей я выбрал только те записи, в которых пароль пользователя состоял из 4 цифр 4. Результаты выборки были объединены в отдельную базу данных четырехзначных паролей.

Отсюда и далее мы будем считать, что четырехзначные пароли и PIN-коды это суть одно и то же.

Мне удалось найти около 3,4 миллиона четырехзначных паролей. Каждый из паролей представляет собой комбинацию из 4 цифр от 0000 до 9999.

Самый популярный пароль: 1234…

…просто поразительно, насколько популярен такой пароль. А что еще поразительнее, так это нехватка воображения у людей его выбирающих…

… 1234 составляет около 11% от 3,4 миллиона всех паролей.

Следующий по популярности четырехзначный пароль – 1111, около 6% от всей выборки.

Третье место занимает пароль 0000 с 2%.

Недавно мой хороший друг lan скинул мне шуточную новость. В заголовке новости было написано что-то типа:
“PIN-коды всех кредитных карт в мире похищены!”

Недавно мой хороший друг lan скинул мне шуточную новость. В заголовке новости было написано что-то типа:

“PIN-коды всех кредитных карт в мире похищены!”

В самой же новости было просто перечислены украденные PIN-коды: 0000 0001 0002 0003 0004…

Новость lan’а рассмешила меня. В этот же день, но чуть позже, я прочитал вот этот комикс на XKCD. После прочтения двух забавных историй у меня и появилась идея написать статью.

− Зацени мой номерной знак!

− Никто не сможет правильно запомнить номер моей машины! Я могу совершить любое преступление, какое только захочу!

− Номер машины вора вроде бы полностью состоял из ‘1’.

− А! Так это тот самый парень!

− Его адрес записан в блокноте, который лежит в патрульной машине.

Какой PIN-код встречается реже всего?

Всего из 10 цифр можно составить 10 000 различных четырехзначных PIN-кодов. Из этих десяти тысяч, какие PIN-коды встречаются реже всего?

Какой из 10 000 PIN-кодов люди используют реже всего?

Какой из 10 000 PIN-кодов люди используют чаще всего?

Если бы перед вами стояла задача найти PIN-код кредитной карточки за кратчайшее время, то в каком порядке вы бы перебирали все возможные PIN-коды?

Если бы вас спросили, какой четырехзначный PIN-код встречается реже всего, то что бы вы ответили?

Все эти вопросы тесно связаны с вышеупомянутым комиксом с XKCD. В комиксе план преступника провалился, потому что его номерной знак был слишком уникальным и, как следствие, слишком запоминающимся. Какой номерной знак запоминается тяжелее всего? Спросите любого знакомого шпиона J, как лучше всего затеряться в толпе? Ответ будет вполне ожидаемым: быть “нормальным” и ничем не выделяться.

Всем известно, что людям плохо удается придумывать случайные пароли. Я надеюсь, что после прочтения статьи вы станете чуточку аккуратнее выбирать ваш следующий PIN-код.

Вам все еще интересно, какой PIN-код встречается реже всего?

А какой самый популярный?

Если да, то читайте дальше…

Настоящая статья не является библией хакеров и не предназначена для использования в качестве средства, инструмента или источника информации для потенциальных воров в их грязных делишках. Информации, которую я раскрою, будет достаточно только для подтверждения моей точки зрения и для примеров. Я не хочу, чтоб моей информацией воспользовались скрипт-кидди. Пожалуйста, не тратьте свое время и не спрашивайте у меня, какую именно базу данных я использовал, я вам все равно не отвечу. И я не собираюсь продавать, дарить или публиковать исходные данные – даже не просите!

Доступа к базе данных PIN-кодов кредитных карт у меня, конечно же, нет. Я пойду немного по другому пути. Источником будут служить данные из опубликованных/раскрытых таблиц паролей и из других утечек баз данных.

Утечки баз данных с паролями

За последнее время было найдено множество уязвимостей безопасности в базах данных с паролями: некоторые уязвимости получили широкую огласку, другие – не очень. Но у всех утечек есть одна общая черта: за них пришлось заплатить высокую цену, складывающуюся как из непосредственных штрафов, так и из косвенных убытков, связанных с ухудшением репутации фирмы.

Лично я не позволю обвести меня вокруг пальца даже один раз, не говоря уж о двух… Скажу даже больше: любой разработчик, пароли которого хранятся в базе данных незашифрованными, не имеет права спать спокойно, пока он не исправит это чудовищное недоразумение. Более того, вы просто обязаны учиться на чужих ошибках и не допускать, чтобы обнаруженная уязвимость не была обнаружена еще один раз у вас.

Если вы, как работник компании, знаете, что к защите базы данных с паролями ваших клиентов подошли поверхностно, тогда идите, а лучше бегите к вашему начальству, изо всех сил колотите в дверь кулаками и настаивайте, чтобы уязвимость была исправлена как можно быстрее. Не ждите, пока не станет уже слишком поздно. Стойте на своем. Будьте приставучими, как репей.

Сейчас я не пытаюсь разрекламировать себя, как консультанта (хотя мои услуги достаточно недорогие по сравнению со стоимостью адвокатской защиты, коллективного иска, штрафов и санкции, оттока капитала и удара по репутации). Найти хорошего специалиста по безопасности, который поможет вам, сейчас не проблема (если вы не знаете, откуда копать, то я бы посоветовал вам начать со специалистов CISSP).

Вывод: защита должна быть многоуровневой. И простое шифрование таблицы с паролями пользователей позволит защитить ваших клиентов, даже если база утечет. Шифрование не защищает от всех возможных атак, но и вреда оно тоже не приносит. Какой тогда смысл хранить пароли незашифрованными?

Вернемся к выборке

Из всех баз данных с паролями учетных записей я выбрал только те записи, в которых пароль пользователя состоял из 4 цифр 5. Результаты выборки были объединены в отдельную базу данных четырехзначных паролей.

Отсюда и далее мы будем считать, что четырехзначные пароли и PIN-коды это суть одно и то же.

Мне удалось найти около 3,4 миллиона четырехзначных паролей. Каждый из паролей представляет собой комбинацию из 4 цифр от 0000 до 9999.

Самый популярный пароль: 1234…

…просто поразительно, насколько популярен такой пароль. А что еще поразительнее, так это нехватка воображения у людей его выбирающих…

… 1234 составляет около 11% от 3,4 миллиона всех паролей.

Следующий по популярности четырехзначный пароль – 1111, около 6% от всей выборки.

Третье место занимает пароль 0000 с 2%.

Источник