Zašto?
Ako ste ikada koristili razne password liste vrlo vjerojatno niste imali puno uspjeha u radu kako gotovo i ne postoji password lista koja je pogodna za hrvatsko govorno područje. Password liste za hrvatsko govorno područje svode se više/manje na rječnike hrvatskog jezika. Rezultat je da statistike korištenja lozinki nisu u potpunosti relevantne za hrvatsko govorno područje. Zato ovaj projekt i ove password liste.
Od kuda mi lozinke?
Lozinke koje su u ovdje opisane nisu crackane, hackirane, ukradene i slično. Sve lozinke koje su rezultat ovog rada su lozinke koje su pronađene u plain-text formatu na javnom internetu. Sve su iz javno dostupnih dumpova raznih breacheva. Ukupno više od 2.000.000.000 zapisa lozinki ili parova user/password je analizirano (sirovih podataka je i više jer su, prilikom spajanja dumpova, ignorirani user/pass duplikati).
Koje to lozinke vole Hrvati?
Ukupno je pronađeno 347.639 lozinki. Nakon uklanjanja duplikata i čišćenja od grešaka, lista sadrži 253.532 jedinstvene lozinke. Ukratko ovo su lozinke koje hrvati najčešće koriste (pored lozinke je broj koliko puta se ta lozinka pojavljuje):
“123456” – 3088
“123456789” – 894
“123” – 454
“111111” – 442
“QWERTY” – 442
“DINAMO” – 434
“LPPnLdTZX” – 429
“12345678” – 418
“bhf” – 356
“102030” – 348
“cognita” – 290
“1234567” – 283
“000000” – 276
“123456a” – 271
“12345” – 266
“LOZINKA” – 250
“666666” – 209
“Lozinka1” – 203
“PASSWORD” – 200
“1234” – 193
Izgleda da je Dinamo najpopularniji klub. Hajdukovci ne očajavajte, lozinka “HAJDUK” je na 28 mjestu čak iznad lozinke “ZAGREB”. Najpopularnije muško ime je “NIKOLA” a najpopularnije žensko ime je “MARTINA”. Zanimljivo da se “HRVATSKA” pojavljuje tek na 37 mjestu. Čak je i jedan brand cigareta popularniji od Hrvatske, “filter160”. Žalosno je da se i dalje najčešće koristi lozinka “123456”. Lista je pročišćena koliko je moguće ali ne isključuje pojavljivanje čudnih lozinki (npr. botovi koji kreiraju accounte i pripadajuće lozinke). Lista nije konačna, i dalje ću raditi na listi kako se pojavi novi plain-text dump. Ako je vaša lozinka na listi, vrijeme je da ju promijenite i provjerite da i ta nije već na ovoj listi ;)
Gdje je ta lista?
Na GitHub-u: https://github.com/vremenar/TheMiscStuff
Što da radim s tim listama?
Što god. Nisam odgovoran kako će se te liste koristiti i u koje svrhe.
Još pitanja?
Q: Da li mogu dobiti dumpove sa username/email password kombinacijama?
A: Apsolutno ne.
Q: Da li mi možeš dati password od “tog i tog”?
A: Apsolutno ne.
Q: Imam neki čudan niz znakova (op.a. hash), možeš mi izvući lozinku iz toga?
A: Apsolutno ne.
Q: Možeš mi poslati linkove gdje mogu naći dumpove?
A: Apsolutno ne.
Q: Možeš maknuti moju lozinku s popisa?
A: Ne. Lozinka nije povezana sa imenom, prezimenom, emailom, korisničkim računom i slično. A i dostupna je u nekom od javnih dumpova pa…
Q: Zašto si to objavio?
A: Edukacije radi. Vrlo je bitno educirati ljude da ne koriste lozinke koje se nađu u rječnicima ili ovakvim dumpovima.
Pozdrav, zanimljivo post. U oči upada “LPPnLdTZX” pa me zanima od kud tako kompleksnija lozinka pri vrhu popisa sa tolikim brojem korisnika. Znate li o čemu je riječ tu?
Ako se dobro sjećam to je lozinka koju je koristio neki od botneta kada je kreirao ili hijackao accounte.