Lunedi scorso il gruppo Anonymous ha pubblicato 4 pagine riportanti 55.000 account di twitter, quindi con relativo nome utente e password. Al di la del fatto che qualcuno fa sorgere qualche dubbio in merito a tali account, nel senso che si è notato che alcuni dei 55.000 erano già stati violati tempo fa in un’operazione simile condotta da un altro gruppo, vorrei comunque segnalare che qualcuno si è preso la briga di stilare qualche statistica in merito a questi account (di cui ovviamente pubblicherò i dati anche perchè son già fin troppo reperibili online).
Quando ho iniziato a guardare personalmente gli account in questione mi era sorto un dubbio, che sembra trovare riscontro nelle statistiche riportate qui sotto: dei 55.000 account dopo una prima scrematura si scopre che in realtà gli account unici sono 34.062 (gli altri erano duplicati), e all’interno di questi c’è una bella fetta di account fasulli che si ipotizza siano account ad uso spam (ed è quello a cui mi riferivo io). Quindi alla fine gli account reali e unici che dovrebbero essere stati violati scendono a 25.068, i quali hanno fornito un’indirizzo e-mail e una password credibili.
Gli account ritenuti fake spesso non hanno un’indirizzo e-mail, hanno pochi post (se non nessuno), seguono molti altri account quando a loro non se li fila nessuno e spesso hanno una password random di 8 caratteri.
Quindi, tornando ai dati che è possibile raccogliere dagli account reali, è curioso capire come le persone strutturino le proprie password, e un campione di 25.000 account mi sembra un bel campione d’esempio!
Di seguito ecco i dati. Se qualcuno poi volesse approfondire, visiti questo sito.
Top 10 passwords
123456 = 688 (1.86%)
123456789 = 258 (0.7%)
102030 = 92 (0.25%)
123 = 86 (0.23%)
12345 = 74 (0.2%)
1234 = 67 (0.18%)
242424 = 41 (0.11%)
101010 = 40 (0.11%)
12345678 = 38 (0.1%)
010203 = 35 (0.09%)
Top 10 base words
bruno = 47 (0.13%)
junior = 44 (0.12%)
carlos = 43 (0.12%)
brasil = 38 (0.1%)
sexo = 38 (0.1%)
amor = 36 (0.1%)
daniel = 36 (0.1%)
alex = 36 (0.1%)
rafa = 33 (0.09%)
jesus = 33 (0.09%)
Password length (length ordered)
1 = 7 (0.02%)
2 = 20 (0.05%)
3 = 159 (0.43%)
4 = 850 (2.29%)
5 = 532 (1.44%)
6 = 10921 (29.47%)
7 = 3456 (9.33%)
8 = 10375 (28.0%)
9 = 3108 (8.39%)
10 = 2391 (6.45%)
11 = 1428 (3.85%)
12 = 3141 (8.48%)
13 = 176 (0.47%)
14 = 142 (0.38%)
15 = 113 (0.3%)
16 = 129 (0.35%)
17 = 46 (0.12%)
18 = 35 (0.09%)
19 = 9 (0.02%)
20 = 7 (0.02%)
21 = 4 (0.01%)
22 = 9 (0.02%)
23 = 5 (0.01%)
24 = 3 (0.01%)
25 = 3 (0.01%)
26 = 4 (0.01%)
28 = 3 (0.01%)
30 = 3 (0.01%)
32 = 3 (0.01%)
33 = 2 (0.01%)
38 = 3 (0.01%)
43 = 3 (0.01%)
Password length (count ordered)
6 = 10921 (29.47%)
8 = 10375 (28.0%)
7 = 3456 (9.33%)
12 = 3141 (8.48%)
9 = 3108 (8.39%)
10 = 2391 (6.45%)
11 = 1428 (3.85%)
4 = 850 (2.29%)
5 = 532 (1.44%)
13 = 176 (0.47%)
3 = 159 (0.43%)
14 = 142 (0.38%)
16 = 129 (0.35%)
15 = 113 (0.3%)
17 = 46 (0.12%)
18 = 35 (0.09%)
2 = 20 (0.05%)
22 = 9 (0.02%)
19 = 9 (0.02%)
1 = 7 (0.02%)
20 = 7 (0.02%)
23 = 5 (0.01%)
26 = 4 (0.01%)
21 = 4 (0.01%)
24 = 3 (0.01%)
25 = 3 (0.01%)
30 = 3 (0.01%)
38 = 3 (0.01%)
28 = 3 (0.01%)
32 = 3 (0.01%)
43 = 3 (0.01%)
33 = 2 (0.01%)
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|||
|||| |
||||| |
|||||||
| |||||||
||||||||||||||||||||||||||||||||||||||||||||
00000000001111111111222222222233333333334444
01234567890123456789012345678901234567890123
One to six characters = 12483 (33.69%)
One to eight characters = 26312 (71.0%)
More than eight characters = 10746 (29.0%)
Only lowercase alpha = 8746 (23.6%)
Only uppercase alpha = 231 (0.62%)
Only alpha = 8977 (24.22%)
Only numeric = 16138 (43.55%)
First capital last symbol = 15 (0.04%)
First capital last number = 386 (1.04%)
