В большинстве случаев пользователи выбирают упрощенные пароли, используя только буквы или цифры.
В рамках одного из крупнейших исследований, посвященного повторному использованию паролей, специалист Ата Хакчил
https://github.com/FlameOfIgnis/Pwdb-Publicанализ более одного миллиарда утекших учетных данных и обнаружил, что каждый 142-й пароль является распространенным «123456».
По словам турецкого студента, среди более 1 млрд данных он обнаружил только 168 919 919 уникальных паролей, из которых «123456» встречался около 7 млн раз. Данный набор цифр является самым простым паролем из всех известных на сегодняшний день.
Как отметил Хакчил, средняя длина пароля обычно составляла 9 символов, что не очень хорошо, но и не так уж плохо. Большинство ИБ-экспертов рекомендуют использовать более длинные пароли, например, в диапазоне от 16 до 24 символов или даже больше.
Но длина пароля была не единственной проблемой, обнаруженной Хакчилом. По словам турецкого исследователя, сложность пароля также оказалась низкой, поскольку только 12% паролей содержали специальные символы. В большинстве случаев пользователи выбирали упрощенные пароли, используя только прописные буквы (29% от всех паролей), строчные (26%) или цифры (13%). Таким образом около 68% от общего количества паролей из 1 миллиарда данных были уязвимы к брутфорс-атакам.