Брюс Шнайер из Wired News провел небольшой анализ используемых на блог-платформе MySpace пользовательских паролей, в результате чего выяснилось, что подобрать пароли ко многим аккаунтам системы не составит труда.

Знакомый передал Брюсу логины и пароли от 34 000 аккаунтов, которые были получены в результате обмана пользователей с помощью поддельной страницы авторизации, данные с которой отправлялись злоумышленникам. По сообщению самого MySpace не менее 100 000 пользователей стали их жертвами.

Основная часть полученных паролей примитивна - люди доверяют защиту своего аккаунта имени кумира, названию любимой группы или вида спорта. Топ-20 паролей выглядит следующим образом: password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey. На лидера, password1, приходится 0.22% аккаунтов. Подростки, составляющие ядро аудитории сервиса, не хотят мучаться с запоминанием длинного и сложного пароля из набора случайших цифр, букв и спецсимволов и поэтому используют хорошо знакомое им слово и добавляют в его конец несколько цифр по требованию системы, считая, что так они помешают злоумышленникам.

Чаще всего длина пароля составляет 7-8 символов, при этом используются как буквы, так и цифры (81%). Исключительно цифровые пароли, столь популярные в России, на MySpace используются лишь в 1.3% случаев.

На первый взгляд кажется, что ситуация ужасна. Но на самом деле не все так плохо - по сравнению с подобными анализами, проведенными в 1989 и 1992 годах сейчас пользователи используют куда более изощренные наборы символов. Тогда средняя длина пароля составляла 6.8 символов, а буквы использовались только в одном регистре. В 1992 году Гин Спаффорд (Gene Spafford ) с помощью словаря в 63 000 слов мог подобрать до 20% паролей, а на MySpace лишь 3.8% могут быть подобраны с помощью одного, пускай даже очень большого словаря.

Вебпланета уже писала о способах выбора оптимального пароля - не стоит использовать одинаковый пароль на всех сайтах или использовать слова из словаря. К примеру, можно составить хороший пароль из первых букв слов одной строчки любимого стихотворения, а на каждом сайте использовать свой пароль, сгенерированный на основе его URL.