Aprovechando listas de contraseñas reales –en su mayoría productos de filtraciones y crackeos– y combinándolas con diccionarios y otros corpus similares de palabras de todos los idiomas, el ingeniero y aficionado a la ciberseguridad Ben berzek0 publica periódicamente tanto los datos en bruto como un pequeño análisis sobre lo que se puede aprender del asunto.

La información es pública y libre, tanto para fines profesionales (generación de contraseñas, comprobaciones de seguridad, etc.) como educativos (aprender sobre seguridad informática). Se pueden descargar de Github desde su página Probable Wordlists (la última versión es la 1.2) y también está disponible en varios torrents – por si acaso necesitas los 45 GB que ocupan completas todas las contraseñas ha recopilado.

Además las enormes listas originales en forma de texto plano también hay versiones destiladas con solo los Top 100, Top 1000 etc. más «populares» o los hashes (versiones «reducidas» de contraseñas más largas, normalmente de más de 40 caracteres).

Tras confirmar como ya sabíamos que 123456 es la contraseña más utilizada del mundo, seguida de password su análisis también indica que:

El 80% de las contraseñas tienen entre 8 y 12 caracteres. De menos de 4 o más de 17 hay muy muy pocas.
El 90% de las contraseñas solo utilizan minúsculas y números.
La mitad de las contraseñas solo están compuestas por letras; un tercio terminan en un número.

Combinando esto con un poco de sentido común y lo que siempre hemos sabido sobre contraseñas, sus recomendaciones prácticas –ojo, que no hacen una contraseña …