我正在浏览排名前100K的密码列表,并在列表顶部附近找到Sojdlg123aljg。有谁知道为什么这样的普通密码?

评论

我见过针对这样的密码提出的一种理论是,它们是与机器人帐户相关联的密码,并且被创建这些帐户的工具大量重复使用。
我似乎记得(但现在找不到)类似的问题,即普通密码或要避免的密码列表上出现的乍看之下安全的密码。 IIRC,原因是因为它出现在一些流行的“如何”代码中。
@TripeHound这是为什么Gbt3fC79ZmMEFUFJ弱密码吗?,也进入了HNQ。
我注意到除o以外的所有字母都位于键盘的主行上。
密码的另一种理论(可能不是这样,而是类似的)可能是人们只是在网上搜索安全密码,许多人复制并粘贴了相同的看似随机的密码...

#1 楼

最合乎逻辑的解释之一是,这些帐户与机器人相关联。像18atcskd2w这样的密码也一样。

Graham Cluley写了一篇关于此的文章:那么,为什么18atcskd2w如此受欢迎呢?


能有那么多人吗?真的选择使用相同的看似随机选择的“ 18atcskd2w”,“ 3rjs1la7qe”,
或“ q0tsrbv488”来保护他们的在线帐户吗?

当然,答案是, 没有。人们没有选择这些密码。

是的,可以在被盗数据中找到这些凭据,并且这些
密码已在成千上万的帐户中使用,但是
不是选择该密码的人。这是一台计算机。

人类的大脑负责选择诸如“ 123456”,
“ password”和“ qwerty”之类的密码。但是,没有办法让91,103个人独立选择使用“ 18atcskd2w”来保护其帐户。

我相信发生的是这些帐户是由机器人创建的,也许是为了将垃圾邮件发布到论坛上。


编辑:

好吧,我去检查了一些违反网站的记录(“转储”) :

ilerrhyc@qgjkwntm.com:18atcskD2W
lprfzoyj@aboriaqk.com:18atcskD2W
ytjcvfhx@erbnxkjx.com:18atcskD2W
imuudluz@qsldpvlx.com:18atcskD2W
rrrowvvn@gdcufxsg.com:18atcskD2W
kixtigma@snjkuxjh.com:18atcskD2W


我很确定那些密码与bot相关联,但有趣的是,攻击者使用了随机用户名,且随机名不存在域,但不是-随机密码。

评论

因此,计算机在密码重用方面与人们一样严重:)

– Conor Mancone
19-09-5在11:14


我想到的第一个想法是,其中一个可能是对其他常见密码(即rot_13('password'))的简单转换。但是,我认为这是更可能的原因。

– Conor Mancone
19-09-5在11:14
@ConorMancone好吧,不。创建垃圾邮件帐户的脚本是由一个人编写的,因此仍然是负责密码重用的人。当然,对于不安全使用的帐户来说,帐户安全并不是一个真正的问题,该帐户可能会在创建后不久就被锁定/删除,并且不包含任何真实的信息,即使该信息遭到破坏。

– Anthony Grist
19年9月5日在11:49
@NumLock xkcd.com/221

–迈克尔
19年9月5日13:50
有趣的是,攻击者使用随机用户名和随机不存在的域,但使用非随机密码,可能是因为检查了用户名是否重复,但未检查密码。没有动机来生成唯一的密码,但是有一条规则阻止您重复使用用户名。

– dwizum
19年9月5日在17:55

#2 楼

另一种可能:Sojdlg123aljg是从另一个字母翻译的拉丁字符。

例如,普通密码“ ji32k7au4a83”来自普通话“我的密码”,意思是“我的密码”(来源)。 >
使用此在线键盘,您可以验证连续键入ji-3会映射到我。
但是它不适用于Soj ...所以它是另一种语言,或者另一个答案是对。

评论

我尝试使用链接的方法进行翻译,但找不到解决方法。如果使用这些键盘之一的人可以进行测试以确认是否为中文(如果没有其他内容),那可能会很好。

– schroeder♦
19-09-5在12:39


我来自中国大陆,不知道ji32k7au4a83如何成为我的密码

–思雨
19年9月5日于12:50
嘿,看那个。横向思维非常聪明。

– Monica辩护律师走出去
19年9月5日在13:04
@Siyu这是音译,而不是翻译,这可能是您在想的

–user213607
19-09-5在13:55


Sojdlg123aljg的10个字母中只有1个来自QWERTY键盘的同一行,而且在数字前的三个又在数字后又出现,这无疑是很重要的。当然,这是人类没有足够熵的键盘混搭。

–罗西F
19年5月5日在15:27

#3 楼

关于密码统计信息的一种令人误解的事情是,最常见的密码实际上可能并不那么常见。密码123456和密码始终是最重要的密码,但这并不意味着您会在野外看到它们。

2014年,我编译了SplashData的最高密码列表,并写了一篇文章,介绍您在密码列表中看到的一些异常情况。在那篇文章中,我写道:


虽然123456确实是最常见的密码,但该统计数字有点误导。尽管我列表中所有用户的0.6%使用了该密码,但请记住,我列表中99.4%的用户未使用该密码。这里值得注意的是,尽管
最高密码仍然是最高密码,但使用这些密码的人数却大大减少了。



/>

2014年,密码进入前1000名列表所需要的只是
只有0.0044%的所有用户使用。


这意味着随着越来越多的人避免使用通用密码,还会出现其他异常情况,例如由漫游器,黑客或向每个人分配相同默认密码的管理员创建的帐户。

这是我使用的最后一个例子:


例如,当我第一次运行2014年的统计信息时,密码lonen0
排名为列表中的#7。查看数据,我发现所有这些密码都来自一个单一的来源,即比利时公司EASYPAY
GROUP,该数据在2014年11月泄漏了。通过原始数据查看
似乎lonen0是默认密码
,他们的10%的用户未能将其设置为更强的密码。它只是来自一家公司的10%的用户,但这足以将其推到我的数据集中最常见的密码#7



正如其他人指出的那样,这很可能是机器人,但也可能是黑客破坏了系统。在付费内容网站(即色情网站)中,这很常见,有人会入侵该网站并创建一堆使用不同用户名和相同密码的帐户。这本可以是为了避免检测或允许进行跟踪,但在声明某些帐户时也很常见,这在共享密码(例如forzealots或xphkrew)的某些IRC频道和论坛中很常见。