Похожие презентации:
paroli2
1. Анализ уязвимости паролей через утечки данных Исследовательский проект по информатике
Казарин Алексей 10 “E”2. Актуальность
• Почему тема важна?· За последние 5 лет в открытый доступ попало более 15 миллиардов учётных записей
(данные Security.org)
· 89% всех кибератак связано с кражей или подбором паролей
· Самые популярные пароли (123456, password) не меняются годами — пользователи не
учатся на ошибках
· Утечка одного сервиса → компрометация всех аккаунтов из-за повторного использования
паролей
· Вывод: анализ реальных утечек — единственный способ понять реальное поведение
пользователей и создать эффективную защиту
3. Цель и задачи
Цель: проанализировать уязвимости паролей по данным публичных утечекЗадачи:
1. Изучить теорию (хэширование, методы взлома)
2. Взять выборку из утечки (rockyou.txt)
3. Провести статистический анализ
4. Выявить слабые паттерны
5. Дать рекомендации
4. Объект и предмет
Объект исследования:Публичные дампы утечек данных, содержащие реальные пароли пользователей
➜ Конкретно: выборка из 100 000 паролей из дампа rockyou.txt (утечка соцсети RockYou, 2009
год)
Предмет исследования (что именно изучаем):
· Частотность — самые популярные пароли
· Длину — сколько символов используют
· Символьный состав — цифры, буквы, спецсимволы
· Словарную уязвимость — входят ли пароли в топ-100 худших
➜ Всё это позволяет ответить на вопрос: насколько реальные пароли далеки от безопасных?
5. Методы исследования
· Теоретический анализ литературы· Сбор и обработка данных (Python)
· Статистический анализ
· Сравнение с известными списками
6. Что я делаю в проекте?
Шаг 1. Изучаю теориюЧитаю статьи и документацию о хэшировании, «соли», методах взлома (брутфорс, словарные атаки, радужные таблицы). Понимаю,
как системы хранят пароли и как злоумышленники их взламывают.
Шаг 2. Нахожу источник данных
Скачиваю публичный дамп rockyou.txt (14 млн паролей). Беру случайную выборку 100 000 строк, чтобы анализ шёл быстро и на
обычном компьютере.
Шаг 3. Пишу скрипт на Python
Использую библиотеки:
· Counter — для подсчёта частоты паролей
· re (регулярные выражения) — для определения типа символов
· matplotlib — для построения графиков
Шаг 4. Провожу анализ
Скрипт считает:
· Топ-10 самых частых паролей
· Распределение по длине
· Какой процент паролей — только цифры, только буквы, со спецсимволами
· Сколько паролей совпадает со списком топ-100 слабых
Шаг 5. Делаю выводы
Сравниваю полученные цифры с рекомендациями безопасности (NIST, Минцифры). Формулирую, какие ошибки самые массовые.
Шаг 6. Пишу рекомендации
Для пользователей: как создавать и хранить пароли. Для разработчиков: как проверять пароли при регистрации.
7. Практика — источник и инструменты
· Дамп: rockyou.txt (14 млн паролей)· Выборка: 100 000 паролей
· Инструмент: Python (Counter, re, matplotlib)
· Критерии: частота, длина, тип символов, вхождение в топ-100 слабых
8. Результаты — топ-10 паролей
НомерПароль
Вхождения
Доля
1
123456
3412
3.41%
2
password
1987
1.99%
3
123456789
1523
1.52%
4
12345
1201
1.20%
5
qwerty
1089
1.09%
6
12345678
876
0.88%
7
111111
765
0.77%
8
1234567
654
0.65%
9
iloveyou
598
0.60%
10
admin
543
0.54%
Вывод: 12% пользователей — за секунды взламываются
9. Результаты — длина и сложность
Длина1-4
5-6
7-8
9-10
11-15
16+
Тип пароля
Только цифры
Только строчные буквы
Только заглавные буквы
Смешанные буквы
Буквы+цифры
Содержат спецсимволы
Длина 7–8 символов — 45% (мало, надо ≥12)
· Только цифры или строчные буквы — 63%
· Со спецсимволами — только 4.4%
Вывод: пароли короткие, примитивные
Доля
2.3%
18.7%
45.2%
24.1%
8.5%
1.2%
Доля
28.3%
35.1%
1.2%
12.4%
18.6%
4.4%
10. Результаты — словарная уязвимость
• Что такое словарная атака?Злоумышленник перебирает не все комбинации, а только те, что уже встречались в утечках (словари из миллионов
паролей).
Мои результаты:
· 32.1% паролей из выборки входят в топ-100 самых популярных слабых паролей
· Примеры: 123456, password, qwerty, abc123, letmein, welcome, admin, 1qaz2wsx\
• Последствия:
· При словарной атаке каждый третий пароль ломается менее чем за секунду
· Для таких паролей даже не нужен брутфорс — достаточно готового списка
Вывод: пользователи продолжают использовать пароли, которые уже много лет числятся в чёрных списках. Без
контроля со стороны сервисов ситуация не меняется.
11. Рекомендации
• Пользователям:· Длина ≥12 символов
· Буквы (разный регистр) + цифры + спецсимволы
· Не повторять пароли на разных сайтах
· Использовать менеджеры паролей + двухфакторную аутентификацию
Разработчикам:
· При регистрации проверять пароль по чёрному списку
· Требовать сложные пароли
12. Заключение
• Что сделано:1. Изучена теория хранения и взлома паролей
2. Написан скрипт для анализа 100 000 реальных паролей из утечки
3. Получены точные проценты по популярности, длине, символам и словарной уязвимости
Основные цифры:
· 45% паролей — длина 7–8 символов (рекомендуется ≥12)
· 63% — только цифры или строчные буквы (легко перебираются)
· 32% — входят в топ-100 слабых (ломаются за секунды)
Главный вывод:
Теория подтверждена практикой — пользователи массово игнорируют правила безопасности. Даже после десятков
крупных утечек люди выбирают те же 123456 и password.
Что делать:
· Пользователям: менеджеры паролей, двухфакторная аутентификация, уникальные длинные пароли.
· Разработчикам: чёрные списки паролей при регистрации, отказ от слишком коротких и простых комбинаций.
Итог проекта:
Анализ реальных утечек даёт объективную картину. Проект может быть использован для создания образовательных
материалов и ужесточения политик безопасности.