В «Лаборатории Касперского» выяснили, что большинство россиян до сих пор выбирают слишком простые и предсказуемые пароли — и злоумышленникам требуется все меньше времени на их взлом. По данным исследования, почти половину всех паролей можно подобрать менее чем за минуту, а три из пяти — максимум за час.
Компания изучила 231 миллион уникальных паролей из утечек 2023–2026 годов, опубликованных в даркнете. Результаты оказались хуже, чем два года назад: вычислительные мощности растут, а привычки пользователей почти не меняются.
Самые популярные пароли в России
Главной проблемой остаются шаблонные комбинации. Пользователи продолжают добавлять к словам простые цифры, даты рождения или популярные последовательности вроде «1234» и «qwerty». Более половины всех паролей заканчиваются цифрами, а примерно каждый восьмой содержит годы — чаще всего от 1990 до 2026.
Одной из самых распространенных цифровых комбинаций ожидаемо стала «1234». Еще люди часто используют последовательные нажатия клавиш — например, «qwerty» или «ytrewq». Такие паттерны встречаются примерно в 3% случаев.
Среди спецсимволов лидирует @ — он встречается почти в каждом десятом пароле. Также популярны точка и восклицательный знак. Пользователи по-прежнему пытаются «усилить» пароль добавлением одного спецсимвола и пары цифр, хотя современные алгоритмы давно умеют учитывать подобные схемы.
В качестве основы паролей часто используются эмоциональные слова: love, angel, life, star и другие. Исследователи также заметили влияние интернет-мемов: за последний год слово Skibidy стало встречаться в паролях в 36 раз чаще.
Еще одна проблема — повторное использование старых комбинаций. Более половины паролей из новых утечек уже фигурировали ранее. Это означает, что многие пользователи не меняют учетные данные годами и используют один и тот же пароль сразу на нескольких сервисах.
Как взламываются плохие пароли
Современные сервисы обычно не хранят пароли в открытом виде — вместо этого используется хеширование. Однако при утечке злоумышленники получают хеши и пытаются восстановить оригинальные комбинации.
Для этого применяются несколько методов. Самый известный — brute force, или полный перебор, когда система проверяет все возможные комбинации символов. Также используются радужные таблицы — заранее подготовленные базы уже расшифрованных хешей.
Но главную угрозу сегодня представляют «умные» алгоритмы. Они обучаются на миллионах слитых паролей и умеют предсказывать популярные схемы: словарное слово, год, спецсимвол или замена букв вроде «a» на «@». Благодаря этому подбор ускоряется в разы.
По данным исследования, видеокарта RTX 5090 способна перебирать до 220 миллиардов MD5-хешей в секунду — на 34% быстрее RTX 4090. При этом злоумышленникам необязательно покупать дорогое оборудование: вычислительные мощности можно арендовать в облаке всего за несколько долларов в час.
Как россияне составляют пароли
Исследование показало, что пользователи крайне предсказуемы. Большинство предпочитает короткие комбинации и избегает случайных наборов символов. Особенно уязвимыми считаются пароли длиной до 8 символов — на их подбор обычно уходит меньше суток.
Люди также редко обновляют учетные данные. Судя по датам в паролях, средний срок жизни комбинации составляет от трех до пяти лет. За это время пароль может попасть в утечку, быть перехвачен вредоносом или оказаться в базах для автоматических атак.
Кроме того, пользователи часто хранят пароли в заметках, документах, мессенджерах или браузерах. Это делает кражу данных значительно проще: вредоносное ПО умеет извлекать сохраненные учетные данные практически мгновенно.
Как защитить свои пароли
Специалисты рекомендуют отказаться от коротких и шаблонных комбинаций. Для каждого сервиса лучше использовать уникальный пароль длиной не менее 16 символов с случайным набором букв, цифр и спецсимволов.
Запоминать десятки сложных комбинаций вручную практически невозможно, поэтому оптимальным вариантом называют менеджеры паролей. Они позволяют генерировать случайные пароли и хранить их в зашифрованном виде.
Также эксперты советуют не хранить пароли в браузерах и обычных текстовых файлах, а везде, где это возможно, переходить на passkeys — криптографические ключи доступа, которые не передаются серверу в привычном виде. Дополнительным уровнем защиты остается двухфакторная аутентификация. При этом приложения-аутентификаторы считаются более безопасным вариантом, чем SMS-коды.
Наконец, специалисты напоминают о базовой цифровой гигиене: не скачивать пиратский софт, не открывать подозрительные ссылки и не устанавливать непроверенные файлы. Именно через вредоносные программы злоумышленники сегодня чаще всего получают доступ к паролям пользователей.
<div class="mediaPollEmbed" data-prerendered><noscript><section><h2>Опрос Mail: как россияне чистят память телефона</h2><p>8 вопросов</p><form method="POST" action="https://media-poll.mail.ru/api/6cbf5068-0bad-59ba-ae13-815b0fbb8964"><fieldset><legend>Как часто вы очищаете память телефона?</legend><label><input type="radio" name="26410" value="93515"/>Регулярно (раз в неделю и чаще)</label><br/><label><input type="radio" name="26410" value="93516"/>Примерно раз в месяц</label><br/><label><input type="radio" name="26410" value="93517"/>Несколько раз в год</label><br/><label><input type="radio" name="26410" value="93518"/>Только когда заканчивается память</label><br/><label><input type="radio" name="26410" value="93519"/>Практически никогда</label><br/><label><input type="radio" name="26410" value="93520"/>Вообще никогда</label><br/></fieldset><button type="submit">Далее</button></form></section></noscript></div><script type="text/javascript">(function(window){var mediaPoll=(window.mediaPoll=window.mediaPoll||{});var container=document.currentScript.previousElementSibling;var uuid="6cbf5068-0bad-59ba-ae13-815b0fbb8964";mediaPoll.loadAPIPromise=mediaPoll.loadAPIPromise||new Promise((resolve,reject)=>{const loadScript=(onload,onerror)=>{var head=document.getElementsByTagName('head')[0];var script=document.createElement('script');script.async=true;script.onload=onload;script.onerror=onerror;script.src='https://media-poll.mail.ru/-/1777996599748/embed/main.js';head.appendChild(script)};loadScript(resolve,()=>{mediaPoll.loadAPIPromise=null;reject()})});mediaPoll.loadAPIPromise.then(()=>{window.mediaPoll.render(uuid,container)})})(window)</script>
