Один из способов получить пароль к статистике LiveInernet вашего конкурента.

Здесь я постараюсь собрать воедино и проанализировать всю информацию о пользовательских паролях на различных ресурсах.
Пароль - это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя - пароль» используется для удостоверения пользователя.

Sony Pictures database

Исследование Троя Ханта, который взял за предмет своих изысканий, базу пользователей Sony Pictures, стоит отметить, что все пароли хранилась в открытом виде. А дальше он проанализировал пользовательские пароли. Вот такие результаты у него получились.
Длина пароля

Как мы видим, основное количество паролей с диной от 6 до 10 символов. При этом у половины он менее 8 символов.

Используемые символы

1% - только буквы верхнего регистра
4% - только цифры
45% - только буквы нижнего регистра
50% - другие варианты

Криптографическая стойкость пароля определяется вариацией букв различных регистров + цифры + спец. символы ^ длина пароля. На данном примере мы можем наблюдать, что используются пассы одного типа.

Словарные пароли

36% - словарный пароль
64% - пароль не из словаря

При данной проверке использовался словарь на 1.7 млн слов. Взять можно здесь dazzlepod.com/site_media/txt/passwords.txt Как видим результат неутешительный, больше трети пассов, словарные.

Тест на уникальность

8% - уникальный пароль
92% - повторно используемый пароль

В базу Sony Pictures так же включены пароли для других сервисов. Собственно на таблице отображено, сколько юзеров везде используют один и тот же пасс.

Брутфорс хеша

18% - сложно взламываемый
82% - легко взламываемый через радужные таблицы

Поскольку все пароли хранились в открытом виде, но даже в случае если это были-бы хеши, нам удалось бы дешифровать примерно 82% от общего числа, с применением радужных таблиц.

E-mail password"s
Независимому исследователю в области ИБ, попал в руки список из +20K аккаунтов от различных почтовиков, вида email;pass. Списки разделенные на 2 части, можно взять здесь:
users - box.net/shared/m9fv11hcrc
passwords - box.net/shared/jek7g37fjk

Пароли можете даже не пробовать сопоставлять, поскольку все это дело было намерено перемешано. Поскольку целью было не компрометация пользователей, а проведение анализа используемых паролей. Изначально список состоял из 24,546 записи. Все они имели следующий формат username@domain/password. После проведение небольшой очистки, осталось 23,573 аккаунта. Затем были удалены дубликаты и на выходе получился список из 21,686 аккаунта.

Основная масса это были мыльники популярного зарубежного почтовика hotmail.com. Но надо отметить, что присутствовали и другие почтовые системы, такие как Yahoo, Gmail, AoL и т.д. Нижу будет представлен ТОП-20 доменов и количество учетных записей для каждого из них.

1. hotmail.com – 12478

2. yahoo.com – 3012

3. aol.com – 827

4. gmail.com – 512

5. msn.com – 443

6. hotmail.fr – 346

7. comcast.net – 321

8. aim.com – 287

9. sbcglobal.net – 275

10. hotmail.co.uk – 206

11. neomail.com – 153

12. hotmail.es – 117

13. cox.net – 116

14. verizon.net – 96

15. bellsouth.net – 95

16. live.com.mx – 71

17. yahoo.ca – 63

18. yahoo.co.uk – 63

19. charter.net – 47

20. earthlink.net – 46

Если мы посмотрим на имена пользователей, то можем наблюдать, что первые 9,586 из них расположены в алфавитном порядке. Они начинаются с букв «A» & «B». Исходя из используемых ими паролями, можно сделать вывод, что они относятся к латинскому сообществу. Но так же присутсвуют аккаунты со всего мира.

Наиболее часто используемый пароль по прежнему остается 123456. Как вы можете увидеть ниже, из общего числа в 21,866 паролей, 91 из них 123456. Вот ТОП-100 наиболее часто используемых паролей из списка.

1. 123456 – 91
2. neopets – 39
3. monkey – 27
4. 123456789 – 26
5. 123321 – 24
6. password – 23
7. iloveyou – 17
8. princess – 16
9. horses – 16
10. tigger – 15
11. pokemon – 14
12. cheese – 14
13. 111111 – 13
14. kitty – 13
15. purple – 12
16. dragon – 12
17. nicole – 12
18. 1234567 – 11
19. alejandra – 11
20. daniel – 11
21. bubbles – 10
22. alejandro – 10
23. michelle – 10
24. 12345 – 10
25. hello – 10
26. c***** – 10
27. chocolate – 9
28. hottie – 9
29. alberto – 9
30. 12345678 – 9
31. fluffy – 9
32. buddy – 9
33. 123123 – 9
34. cassie – 9
35. andrea – 9
36. secret – 9
37. shadow – 9
38. tequiero – 9
39. ****llica – 9
40. poop – 8
41. hi – 8
42. sebastian – 8
43. jessica – 8
44. adopt – 8
45. 654321 – 8
46. justin – 7
47. newpw123 – 7
48. scooter – 7
49. soccer – 7
50. holly – 7
51. hannah – 7
52. flower – 7
53. 1234 – 7
54. jessie – 7
55. ashley – 7
56. tiger – 7
57. lauren – 7
58. football – 7
59. elizabeth – 7
60. casper – 7
61. roberto – 7
62. 000000 – 7
63. legolas – 7
64. estrella – 7
65. 159753 – 7
66. anime – 7
67. sabrina – 6
68. moomoo – 6
69. angelica – 6
70. cat123 – 6
71. bonita – 6
72. buster – 6
73. kitten – 6
74. killer – 6
75. qwerty – 6
76. chelsea – 6
77. sasuke – 6
78. olivia – 6
79. theresa – 6
80. america – 6
81. beatriz – 6
82. mariposa – 6
83. oscar – 6
84. rainbow – 6
85. yellow – 6
86. cool – 6
87. ginger – 6
88. maggie – 6
89. friends – 6
90. asdfgh – 6
91. abc123 – 6
92. neopet – 6
93. dancer – 6
94. amanda – 6
95. avatar – 6
96. boogie – 6
97. greenday – 6
98. thumper – 6
99. 666666 – 6
100. bob – 6

По формату паролей, можно извлечь следующую статистику.

43.3% - буквы, в нижнем регистре. Пример: monkey

2.1% - буквы, верхний и нижний регистр. Пример: Thomas

15.8% - только цифры. Пример: 123456

35.1% - буквы и цифры. Пример: j0s3ph

3.6% - буквы, цифры и спец. символы. Пример: sandra19_1961

30% - заканчивается цифрой. Пример: hello1

Если мы посмотрим на длину пароля в следующем графике, то мы увидим, что большинство из них 6-символьные.

Rootkit.com

6 февраля 2011, как часть атаки на HBGary, группировка Anonymous, с применением методов социальной инженерии, удалось скомпрометировать Jussi Jaakonaho, одного их технических админов rootkit.com. В итоге был заполучен полный дамп ресурса со всей базой данной, в том числе и пользователей.

Для дешифровки использовался John the Ripper. Большинство паролей были подобраны с применением словаря на 17.5 MB, а остальные добивались с помощью других комбинированных атак. Ниже представлены 10 наиболее часто используемых паролей.

Rank Password Accounts
1 | 123456 | 1023
2 | password | 392
3 | rootkit | 341
4 | 111111 | 190
5 | 12345678 | 181
6 | qwerty | 175
7 | 123456789 | 170
8 | 123123 | 99
9 | qwertyui | 92
10 | letmein | 91

Как мы видим снова засветился уже побитый 123456. Так же стоит отметить тот факт, 3 место по популярности, занял пароль аналогичный названию ресурса, аж 341 результат. Я так же хочу добавить основываясь на своем многочисленном опыте, когда работаешь с базами, по дешифровке пассов, довольно часто попадаются ресурсы, которые в качестве пароля используют адрес этого самого ресурса. При этом данное наблюдение не является правило. Но на моей практике уже были порталы, где % таких пассов был достаточно велик, а были где вообще не использовался ни разу. Я пока не нашел зависимости данного наблюдения.

Для проверки надежности пароля
Скорость подбора с помощью пароля можно описать нехитрой математической формулой: количество возможных символов, возведенное в степень длины пароля, поделенное на количество перебираемых паролей в секунду. В результате получается примерное время в секундах. Впрочем, чтобы доказать человеку, что на деле означает простой пароль, не нужно грузить его математикой. Достаточно зайти на сайт How Secure Is My Password?, ввести <> (слово <<пароль>> в латинской раскладке) и показать, что такой пасс сбрутится на обычном PC за 30 секунд. Вобщем потестить пароли довольно интересно: сразу становится видно, что длина пароля намного важнее его сложности. Для взлома "#R00t$H3ll" уйдет 195 лет, а на, казалось бы, простой «abcdefg1234567» - 5722 года.

После того, как LI запаролили статистику счетчиков, стало немного сложнее подбирать ключевые слова. Кто-нибудь из вас сталкивался с такой ситуацией, когда вроде как по Вордстату все нормально, слова часто набираются. А при выводе запроса в ТОП 1-2-3 вы видите, что трафика то, собственно, вообще нет.

Причиной тому служат накрутки многих запросов. Откуда они берутся? Хозяева сайтов могут ежедневно вводить запросы, чтобы посмотреть на текущие позиции своих сайтов. Различные сервисы для проверки позиций могут накручивать запросы. И так далее.

В итоге получается так, что по Яндекс Вордстату через «!запрос» — 2000 показов, а когда выведешь запрос в ТОП 2 – получаешь один переход в день, или вообще нет переходов. Для того чтобы подобрать реально набираемые запросы для продвижения – смотрите и анализируйте свою статистику. Она более-менее адекватно показывает фразы, по которым зашли к вам на сайт.

Но где взять статистику заходов, если, к примеру, вы только что зарегистрировали домен и начали делать сайт? Довериться Вордстату и допустить возможность траты кучи денег и не достижения предполагаемого результата? Можно, вполне можно, если тематика не сильно конкурентная. А если сильно? Что делать тогда? А вот что…

Обратиться к конкуренту.

Да, обратиться к конкуренту и попросить у него пароль к статистике его сайта. :) Но, естественно, просто так его вам никто не даст. Нужна веская причина, которой конкурент не сможет противостоять. Что это может быть?

Вы находите в интернете сайты конкурентов и отправляете им хорошо составленное коммерческое предложение. Если кратко, то что-то такое:

Воодушевленный выгодой вебмастер отвечает вам, отправляет пароль к статистике, после чего вы берете тот же Key Collector или любую другую программу и за 5 минут парсите все ключевые слова, по которым заходили на его сайт.

Вебмастеру на письмо можно даже не отвечать. Вы получили все, что хотели.

Некоторые скажут, что этот способ не очень то и честный. Возможно, однако он действенный. Заинтересованность вебмастера и его желание отдать вам пароль будет прямо пропорциональны качеству письма, которое он прочитает. Поэтому, не стоит писать его на скорую руку. Чем более тщательно вы подойдете к подбору мотивирующих фраз и выражений, тем лучше будет эффект от разосланных предложений.

В итоге – вы получили добротный список ключевых слов, которые набирают люди. Среди них, вы сможете найти хорошие запросы, на которые и будете делать упор при продвижении своего сайта.

Вероятность наступить на грабли накрученных запросов снизилась в несколько раз. Ваш бюджет будет потрачен не в пустую.

Твит дня: «Вчера в Афганистане была накрыта крупная партия наркотиков. А то дожди, знаете, октябрь. Намокнут еще.»

" src="http://1.gravatar.com/avatar/adc4154ec86a16b4f86e33279a3beef5?s=32&d=monsterid&r=g" srcset="http://1.gravatar.com/avatar/adc4154ec86a16b4f86e33279a3beef5?s=64&d=monsterid&r=g 2x" class="avatar avatar-32 photo" height="32" width="32">Виктор says:

Обман и мошенничество.

Саймон says:

Влюбился в твой блог.Каждый день пишешь и всё интересно! Спасибо. А метод ведь правда действенный.Вот только человека жаль, так и будет ждать денег от вас, но увы…
ps. поставиь капчу другую, замучался собирать эти картинки(

Sickboy says:

На войне все способы хороши;)

Sickboy says:

Спасибо.
Хм, видимо, придется написать отдельный пост, как пользоваться моей капчей, чтобы сохранить себе нервы)

Саймон says:

Кстати, сегодня будет новый пост??

Как известно, статистика знает всё, и, разумеется, количество и классификация субъектов предпринимательской деятельности в РФ тоже является предметом её интереса. Каждый зарегистрированный и вновь созданное ООО должны позаботиться о том, чтобы узнать свои коды статистики.

Ответы на любые вопросы по регистрации ООО и ИП, Вы можете получить, воспользовавшись услугой бесплатной консультации по регистрации бизнеса :

Что такое коды статистики?

Коды статистики - это сведения из Статрегистра Госстата (полное название документа - Статистический регистр хозяйствующих субъектов Федеральной службы государственной статистики), утвержденного Приказом № 22 Федеральной службы Госстата от 05.08.05. В некоторых документах Госстат именуется как Росстат.

Статрегистр - это база данных, в которой идентифицируют юридические лица и индивидуальных предпринимателей в соответствии с целым рядом общероссийских классификаторов:

  • ОКПО - Общероссийский классификатор предприятий и организаций;
  • ОКАТО - Общероссийский классификатор объектов административно-территориального деления;
  • ОКТМО - Общероссийский классификатор территорий муниципальных образований;
  • ОКОГУ - Общероссийский классификатор органов государственной власти и управления;
  • ОКФС - Общероссийский классификатор форм собственности;
  • ОКОПФ - Общероссийский классификатор организационно-правовых форм;
  • - Общероссийский классификатор видов экономической деятельности.

Для чего нужны коды статистики?

Указание кодов статистики требуется при:

  • открытии расчетного счета в банке;
  • сдаче налоговой и бухгалтерской отчётности;
  • заполнении платёжных поручений и квитанций на оплату;
  • сдаче статистической отчётности (если вы попадете под выборку Госстата, о чём вам сообщат дополнительно);
  • совершении экспортно-импортных операций;
  • изменении места регистрации ИП или адреса местонахождения организации (юридического адреса);
  • при открытии филиала организации;
  • изменении ФИО индивидуального предпринимателя или названия организации;
  • в других случаях.

Как узнать свои коды статистики?

Способов получить или узнать коды статистики несколько:

  1. Если регистрация ИП или ООО происходит в регистрирующем налоговом органе, действующему по принципу «одного окна», то об этом можно спросить сразу при подаче документов на регистрацию. Обязанности сообщать вам коды статистики у налоговой инспекции нет, выдает такое уведомление территориальный орган Госстата, но информация о ваших кодах в ФНС все равно приходит. Просто вежливо поинтересуйтесь, может ли регистрирующая налоговая инспекция выдать вам этот документ.
  2. Самостоятельно обратиться в территориальное отделение Госстата.

Индивидуальные предприниматели должны представить следующие документы (обычные незаверенные копии):

  • копию Свидетельства о регистрации
  • копию ИНН
  • копию Выписки из ЕГРИП
  • копию паспорта.

Организации представляют следующие документы (обычные незаверенные копии):

  • копию Устава
  • копию ИНН
  • копию Свидетельства о государственной регистрации юридического лица
  • копию Выписки из ЕГРЮЛ
  • паспортные данные директора компании
  • доверенность (при необходимости).

Первичное уведомление Госстат выдает бесплатно, повторное (при утере) уже за деньги, поэтому сделайте, на всякий случай, копию полученного уведомления.

  1. Если вам недосуг заниматься получением кодов самостоятельно, вы можете обратиться за получением кодов статистики к специалистам, стоимость такой услуги составляет в среднем от 500 до 1500 рублей.
  2. Наконец, коды статистики (как свои, так и контрагентов) можно узнать самостоятельно на официальном сайте Росстата.

Если наша статья помогла вам разобраться в том, как получить коды статистики, пожалуйста, поделитесь ею с друзьями - пусть она поможет и им. Нам будет очень приятно!