Эксперты опубликовали 100 самых слабых и распространённых паролей

Эксперты опубликовали 100 самых слабых и распространённых паролей

Исследователи компании, разрабатывающей менеджер паролей NordPass и приложение NordVPN, составили список наиболее часто используемых и при этом наименее устойчивых к взлому паролей. Для этого экспертам пришлось проанализировать базу данных, содержащую 500 миллионов учётных данных, фигурировавших в утечках 2019 года.

Три пароля, возглавляющих список исследователей, встречались в базах утечек 6 348 704 раз. Они крайне слабые и при этом полностью предсказуемые.

Однако в опубликованной специалистами информации можно выявить и довольно неожиданные учётные данные.

Разработчики NordPass утверждают, что использовать пароли из их списка крайне опасно — злоумышленники могут провести брутфорс-атаку, которая в большинстве случаев приведет к взлому аккаунтов.

Напомним, что в ходе подобных атак преступники автоматически перебирают часто используемые пароли, а также задействуют словари для подбора слов.

В отчёте NordPass перечислены 100 самых слабых паролей по состоянию на 2019 год. Приводим список:

  • 12345
  • 123456
  • 123456789
  • test1
  • password
  • 12345678
  • zinch
  • g_czechout
  • asdf
  • qwerty
  • 1234567890
  • 1234567
  • Aa123456.
  • iloveyou
  • 1234
  • abc123
  • 111111
  • 123123
  • dubsmash
  • test
  • princess
  • qwertyuiop
  • sunshine
  • BvtTest123
  • 11111
  • ashley
  • 00000
  • 000000
  • password1
  • monkey
  • livetest
  • 55555
  • soccer
  • charlie
  • asdfghjkl
  • 654321
  • family
  • michael
  • 123321
  • football
  • baseball
  • q1w2e3r4t5y6
  • nicole
  • jessica
  • purple
  • shadow
  • hannah
  • chocolate
  • michelle
  • daniel
  • maggie
  • qwerty123
  • hello
  • 112233
  • jordan
  • tigger
  • 666666
  • 987654321
  • superman
  • 12345678910
  • summer
  • 1q2w3e4r5t
  • fitness
  • bailey
  • zxcvbnm
  • fuckyou
  • 121212
  • buster
  • butterfly
  • dragon
  • jennifer
  • amanda
  • justin
  • cookie
  • basketball
  • shopping
  • pepper
  • joshua
  • hunter
  • ginger
  • matthew
  • abcd1234
  • taylor
  • samantha
  • whatever
  • andrew
  • 1qaz2wsx3edc
  • thomas
  • jasmine
  • animoto
  • madison
  • 0987654321
  • 54321
  • flower
  • Password
  • maria
  • babygirl
  • lovely
  • sophie
  • Chegg123

Недавно команда исследователей из Microsoft просканировала все аккаунты в системе корпорации и выявила 44 миллиона учётных записей, использующих имена пользователей и пароли, до этого уже фигурировавшие в базах утечек.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Instagram-аккаунты пользователей можно было взломать с помощью картинки

Опасный баг в Android- и iOS-версии приложения Instagram открывает потенциальному злоумышленнику возможность для захвата аккаунта жертвы и шпионажа за пользователем мобильного устройства. Эксплуатация требует отправки специально созданного изображения через мессенджер или электронную почту.

Проблема заключается в способе обработки изображений. Как только Instagram получает доступ к определённой картинке и предлагает возможность запостить её, появляется вектор атаки.

Технически уязвимость, получившая идентификатор CVE-2020-1895, представляет собой банальное переполнение буфера. Баг проявляется в момент, когда Instagram пытается запостить изображение больших размеров, при этом считая, что оно маленькое.

Разработчики в штате Facebook уже устранили брешь, а на официальном ресурсе появилось соответствующее уведомление о проблеме безопасности. Подробности бага описал эксперт компании Check Point Гал Элбаз.

По словам специалиста, имплементация стороннего кода в Instagram приводит к серьёзным рискам — в частности, создаёт возможность для удалённого выполнения кода.

 

В данном случае роковую роль сыграло жёстко закодированное значение константы, которое разработчики Instagram добавили при интеграции с Mozjpeg. Элбаз описал приблизительный алгоритм атаки с эксплуатацией описанной уязвимости:

  1. Злоумышленник отправляет жертве вредоносное изображение (через WhatsApp, СМС-сообщение, электронную почту или любой другой сервис обмена текстом).
  2. Если пользователь сохраняет картинку, а впоследствии запускает Instagram, начинается эксплуатация уязвимости, позволяющая атакующему получить полный доступ к устройству жертвы.
  3. Также баг позволяет постоянно выводить приложение из строя.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru