En uno de los mayores estudios de reutilización de contraseñas de su tipo, un análisis de más de mil millones de credenciales filtradas descubrió que una de cada 142 contraseñas es la clásica cadena “123456”.

El estudio, realizado el mes pasado por el estudiante de ingeniería informática Ata Hakçıl, analizó combinaciones de nombre de usuario y contraseña que se filtraron en línea después de violaciones de datos en varias empresas.

Estos “volcados de datos” existen desde hace más de media década y se han ido acumulando a medida que nuevas empresas son pirateadas.

Los volcados de datos están fácilmente disponibles en línea, en sitios como GitHub o GitLab, o se distribuyen gratuitamente a través de foros de piratería y portales de intercambio de archivos.

A lo largo de los años, las empresas de tecnología han ido recopilando estos volcados de datos. Por ejemplo, Google, Microsoft y Apple han recopilado credenciales filtradas para crear sistemas de alerta internos que advierten a los usuarios cuando utilizan una contraseña “débil” o “común”.

Además, el servicio en línea Have I Been Pwned también funciona sobre estos volcados de datos y credenciales filtrados.

Resultados del estudio

El mes pasado, Hakçıl, un estudiante turco que estudia en una universidad de Chipre, descargó y analizó más de mil millones de credenciales filtradas.

El principal descubrimiento fue que el conjunto de datos de más de 1.000.000.000 de credenciales incluía solo 168.919.919 contraseñas únicas, de las cuales más de 7 millones eran la cadena “123456”.

Esto significa que una de cada 142 contraseñas incluidas en la muestra analizada por Hakçıl era la contraseña más débil conocida hoy en día, siendo la cadena “123456” la contraseña más comúnmente reutilizada en línea durante los últimos cinco años consecutivos, y contando.

Además, Hakçıl también descubrió que la longitud promedio de las contraseñas suele ser de 9,48 caracteres, lo cual no es bueno, pero tampoco es terrible, ya que la mayoría de los expertos en seguridad recomiendan usar contraseñas lo más largas posible, y generalmente entre 16 y 20 caracteres. 24 caracteres o más.

Pero la longitud de la contraseña no fue el único problema que descubrió Hakçıl. El investigador turco dijo que la complejidad de las contraseñas también era un problema, ya que sólo el 12% de las contraseñas contenían un carácter especial.

En la mayoría de los casos, los usuarios eligieron contraseñas simplistas, como utilizar sólo letras (29%) o números (13%). Esto significaba que alrededor del 42% de todas las contraseñas incluidas en el conjunto de mil millones de datos eran vulnerables a ataques rápidos de diccionario que permitirían a los actores de amenazas obtener acceso a las cuentas sin ningún esfuerzo ni dificultad técnica.

Los resultados completos del estudio están disponibles en GitHub, con un breve resumen a continuación:

De más de 1.000.000.000 de líneas de volcados, 257.669.588 se filtraron como datos corruptos (galimatías en formato inadecuado) o cuentas de prueba. Mil millones de credenciales se reducen a 168.919.919 contraseñas y 393.386.953 nombres de usuario. La contraseña más común es 123456 Cubre aproximadamente el 0,722% de todas las contraseñas. (Alrededor de 7 millones de veces por mil millones) Las 1000 contraseñas más comunes cubren el 6,607% de todas las contraseñas. Con 1 millón de contraseñas más comunes, la tasa de aciertos es del 36,28%, y con 10 millones de contraseñas más comunes, la tasa de aciertos es del 54,00%.Promedio La longitud de la contraseña es de 9,4822 caracteres. El 12,04 % de las contraseñas contienen caracteres especiales. El 28,79 % de las contraseñas son solo letras. El 26,16 % de las contraseñas son solo minúsculas. El 13,37 % de las contraseñas son solo números. El 34,41 % de todas las contraseñas terminan en dígitos, pero solo 4,522 El % de todas las contraseñas comienzan con dígitos.