Эксперты опубликовали 100 самых слабых и распространённых паролей

Олег Иванов 16 Декабря 2019 - 08:30

Домашние пользователи

Парольная защита (пароли)

Утечки информации

Умышленные утечки информации

Кража данных

...

Эксперты опубликовали 100 самых слабых и распространённых паролей

Исследователи компании, разрабатывающей менеджер паролей NordPass и приложение NordVPN, составили список наиболее часто используемых и при этом наименее устойчивых к взлому паролей. Для этого экспертам пришлось проанализировать базу данных, содержащую 500 миллионов учётных данных, фигурировавших в утечках 2019 года.

Три пароля, возглавляющих список исследователей, встречались в базах утечек 6 348 704 раз. Они крайне слабые и при этом полностью предсказуемые.

Однако в опубликованной специалистами информации можно выявить и довольно неожиданные учётные данные.

Разработчики NordPass утверждают, что использовать пароли из их списка крайне опасно — злоумышленники могут провести брутфорс-атаку, которая в большинстве случаев приведет к взлому аккаунтов.

Напомним, что в ходе подобных атак преступники автоматически перебирают часто используемые пароли, а также задействуют словари для подбора слов.

В отчёте NordPass перечислены 100 самых слабых паролей по состоянию на 2019 год. Приводим список:

12345
123456
123456789
test1
password
12345678
zinch
g_czechout
asdf
qwerty
1234567890
1234567
Aa123456.
iloveyou
1234
abc123
111111
123123
dubsmash
test
princess
qwertyuiop
sunshine
BvtTest123
11111
ashley
00000
000000
password1
monkey
livetest
55555
soccer
charlie
asdfghjkl
654321
family
michael
123321
football
baseball
q1w2e3r4t5y6
nicole
jessica
purple
shadow
hannah
chocolate
michelle
daniel
maggie
qwerty123
hello
112233
jordan
tigger
666666
987654321
superman
12345678910
summer
1q2w3e4r5t
fitness
bailey
zxcvbnm
fuckyou
121212
buster
butterfly
dragon
jennifer
amanda
justin
cookie
basketball
shopping
pepper
joshua
hunter
ginger
matthew
abcd1234
taylor
samantha
whatever
andrew
1qaz2wsx3edc
thomas
jasmine
animoto
madison
0987654321
54321
flower
Password
maria
babygirl
lovely
sophie
Chegg123

Недавно команда исследователей из Microsoft просканировала все аккаунты в системе корпорации и выявила 44 миллиона учётных записей, использующих имена пользователей и пароли, до этого уже фигурировавшие в базах утечек.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: