Увели аську? Взломали страницу ВКонтакте? Рассылают спам с твоего почтового ящика? Не спеши ковыряться в своём компьютере в поисках шпионских программ и пытать всех имеющих к нему доступ горячим утюгом. Возможно, ты просто тупой не слишком ответственно относишься к выбору своих паролей.
Согласен, тема не нова. По идее, каждый хоть раз да слышал что-то вроде: «хороший пароль не может являться простым словарным словом и должен быть комбинацией ну никак не менее 6 букв, цифр и небуквенных символов». Слышали? Конечно, же слышали.
Так вот, путём несложных манипуляций я составил рейтинг самых популярных паролей на нашем замечательном форуме, на котором зарегистрировано более 13,000 человек — сплошь будущие и нынешние специалисты по информационным технологиям и прочей подобной фигне.
(совпадает с логином) — 241 человек (1.84% всех пользователей)
«123456» — 236 (1.8%)
«qwerty» — 98 (0.75%)
«12345» — 73 (0.56%)
«123456789» — 71 (0.54%)
«111111» — 65 (0.5%)
«1234» — 54 (0.41%)
«123» — 51 (0.39%)
(собственный год рождения) — 47 (0.36%)
«1234567» — 31 (0.24%)
«gfhjkm» («пароль» в латинской раскладке) — 29 (0.22%)
«666666» — 29 (0.22%)
«12345678» — 25 (0.19%)
«1234567890» — 24 (0.18%)
«1111» — 23 (0,18%)
«654321» — 21 (0,16%)
«111» — 20 (0,15%)
«55555» — 20 (0,15%)
«777» — 16 (0,12%)
«121212» — 15 (0,11%)
«7777777» — 14 (0,11%)
«password» — 12 (0,09%)
«11111» — 12 (0,09%)
«000000» — 11 (0,08%)
«ghbdtn» («привет» в латинской раскладке) — 10 (0,08%)
Конечно же, в явном виде пароли у нас не хранятся, и по имеющейся в базе данных информации их нельзя восстановить. Поэтому этот топ-лист составлен путём простой подстановки вариантов в хеш-функцию, и теоретически могли быть пропущены и более популярные варианты. Но не суть.
Тем не менее, почти каждый десятый из числа наших пользователей выбрал в качестве шибко секретного ключа к своему аккаунту один из этих 25 нехитрых вариантов.
Аккаунт на студенческом форуме — не слишком важная вещь. Его взлом может и не нести очень уж неприятных последствий для владельцев. Но а что если у этих людей такие же пароли в ЖЖ, «Одноклассниках», ICQ, корпоративной почте?
Мы на старой работе издевались над бедными бухгалтерами: прописывается в крон john the ripper, и по результатам анализа у кого пароль подобрали - шлется гневное письмо сначала пользователю, а если он не предпринял никаких действий - его начальнику %-)
По теме: форумов много, и каждый из них думает, что пользователю не составит труда пройти нудную процедуру регистрации, потом настраивать свой аккаунт, чтобы уведомлениями не задолбывали; но у пользователя сотни таких форумов и регистрации задалбывают, хорошо что тут функционал не урезают анрегам, но это, скорее, исключение. Аккаунтная система должна отмереть, bugmenot.com еще как-то спасает.
Также, на хабре был пост про то как легко спамить на форумах, подбирая простые пароли ко всем пользователям сразу. Вот тут http://habrahabr.ru/blogs/infosecurity/88286/
В прямом смысле это невозможно. Функция MD5 не является биекцией (хотя бы потому, что отображает элементы бесконечномерного пространства в пространство конечной размерности), а значит, не может иметь обратной функции.
Другое дело, что задача нахождения прообраза (точнее, хотя бы одного из прообразов) хеша - вполне решаемая.
Впрочем, что я тут распространяюсь... Википедия всё знает ;)