Новости - Центробанк обрисовал ситуацию с инфляцией6 июня 11:08
- Сообщения каналам, обрезка аудио и улучшенные фото: новые функции в Telegram5 июня 20:19
- Российский национальный мессенджер может быть организован на платформе VK4 июня 21:21
- В России создадут национальный мессенджер с функциями госсервисов30 мая
- Илон Маск покинул DOGE29 мая
БольшеСамые обсуждаемые темы - Российские ученые разработали фотобиореактор для выращивания белковой спирулины6
- Юмор от ИИ. Смогут ли нейросети шутить, как люди?5
- Империя Nvidia: как корпорация формирует рынок искусственного интеллекта через инвестиции в стартапы5
- 10 потенциальных сюрпризов 2025 года для инвесторов по версии Bank of America4
- Социальные медиа: баланс между прогрессом и хаосом4
Больше- Российские ученые разработали фотобиореактор для выращивания белковой спирулины
- Следите за новостями и тенденциями
Один на миллионы. Названы худшие в мире пароли
Самые популярные пароли взламываются за одну секунду.
Не заморачиваетесь с сочинением паролей? Возможно, ваш пароль используют еще пара миллионов человек.
Лучший, по мнению россиян, способ подтверждения личности при использовании цифровых устройств — использование биометрии: в ее наивысшую надежность верят 20% (столько же, сколько затрудняются с ответом), показал опрос ВЦИОМ. Далее по популярности следует получение СМС или пуш-уведомления. Ввод логина и пароля на третьем месте с долей 13%, но восприятие этого способа аутентификации как надежного снижается.
«Наблюдается тренд на большее доверие современным методам аутентификации (биометрии и пуш-уведомления), чем сдающим свои позиции паролям (13%)», — отмечается в материале.
Собственно, с паролями и будем разбираться. Не виноваты ли в снижении их «надежности» сами пользователи?
«Модные» пароли
Компания — менеджер паролей NordPass опубликовала недавно очередной (по итогам 2024 года) список самых популярных в мире паролей. России среди стран, охваченных исследованием, нет, но выборка в любом случае достаточно репрезентативная: 44 государства со всех континентов. Проанализировано 2,5 терабайта информации из различных общедоступных источников, включая даркнет: пароли, похищенные с помощью вредоносного ПО или раскрытые по итогам утечек данных.
Компания составила списки самых «модных» паролей в личной и корпоративной почте, включив в каждый по 200 позиций.
Первые три строчки в обоих списках занимают пароли из последовательных цифр: 123456, 123456789 и 12345678. Самый популярный пароль 123456 попался авторам исследования среди взломанных паролей от личной почты более 3 млн раз, 123456789 — более 1,6 млн раз, 12345678 — почти 885 тыс. раз; для корпоративной почты эти цифры составляют 1,2 млн, 694 тыс. и 366 тыс. раз соответственно.
Топ-двадцатки для личной и корпоративной почты выглядят так:
В NordPass анализируют принципы создания людьми паролей уже в шестой раз. «И знаете что? Они по-прежнему ужасные», — заключают исследователи. По итогам пяти из шести исследований лидером (то есть худшим в мире паролем) оказался 123456, один раз этот титул достался самому слову password (англ. «пароль»).
Обсуждать, чем плохи пароли из последовательных цифр или вариации на тему алфавита и раскладки клавиатуры, пожалуй, смысла нет: «уж сколько раз твердили миру»… Более любопытны случаи, когда в качестве пароля используются слова или целые фразы. Представляется, что такие данные было бы интересно изучить психологам, но мы пока ограничимся статистикой.
Словесный «креатив»
Все «смысловые» пароли, встретившиеся в обоих списках, в том числе с вариациями написания или в сочетании с цифрами, мы разбили на три категории: слова (включая имена собственные, кроме личных имен людей) или словосочетания; личные имена людей; фразы. Голубым цветом напечатали пароли, встречающиеся только в личной почте, красным — только в корпоративной, а фиолетовым — фигурирующие и там, и там. Также добавили несколько пояснений, они оставлены без цветового выделения.
Слова или словосочетания
Личные имена
Фразы
Взломать за …
По данным NordPass, большинство паролей в обоих длинных списках (и все в каждой из двадцаток) взламываются за 1 секунду. Самый «сложный» для хакеров личный пароль в выборке — 111222tianya (оценочное время взлома — один день), корпоративный — TimeLord12 (пять дней). Пароль 111222tianya использовали в личной почте (в корпоративной он исследователям не попался или не вошел в топ-200) больше 44 тыс. раз, он на 74-м месте по популярности. Пароль TimeLord12, напротив, фигурирует только в списке для корпоративной почты, где занимает 28-е место с частотой применения более 30 тыс. раз.
Помимо того что самые популярные пароли могут использоваться в буквальном смысле миллионами людей, многие еще и дублируют собственный пароль в нескольких аккаунтах — согласно данным, которые приводит компания по кибербезопасности Huntress, так делают 23% пользователей. Там также указывают, что 46% ориентируются на простоту запоминания пароля, а не на его надежность.
Хакеры атакуют
Huntress называет несколько видов кибератак, нацеленных на получение паролей.
🔷 Метод «грубой силы»: это когда злоумышленники пытаются подобрать учетные данные с применением автоматизированных инструментов для быстрого перебора возможных парольных комбинаций или угадать пароль на основе информации о жертве.
Эффективность такой атаки зависит от сложности пароля: простые пароли взламываются быстро, а сложные могут потребовать слишком много времени, вынуждая злоумышленников отказаться от попыток.
🔷 «Распыление» паролей. Злоумышленники пытаются получить доступ к множеству учетных записей через несколько распространенных паролей. Вместо того чтобы перебирать варианты для одной учетной записи, они «распыляют» один пароль на большое количество аккаунтов, прежде чем перейти к следующему популярному паролю.
Эта тактика позволяет избежать срабатывания механизмов блокировки учетной записи, которые активируются при традиционных атаках методом «грубой силы». Хакеры пользуются тем, что многие люди используют слабые, предсказуемые пароли.
🔷 Подстановка учетных данных. Злоумышленники используют списки украденных логинов и паролей из прошлых утечек для получения несанкционированного доступа к другим онлайн-аккаунтам. Эта тактика эффективна, когда пользователи применяют одни и те же учетные данные на разных платформах. Автоматизированные инструменты быстро проверяют уже имеющиеся учетные данные по различным сайтам и сервисам, пытаясь найти совпадения. Если совпадение найдено, злоумышленник получает доступ к дополнительному аккаунту.
🔷 Атака «по словарю»: это попытка взломать пароли, перебирая часто используемые слова и простые числовые комбинации. Автоматизированные инструменты проверяют эти слова и их вариации в разных учетных записях. Метод неэффективен против сложных паролей.
Сильная защита
Эксперты советуют:
- избегать популярных паролей;
- не использовать один и тот же пароль в разных аккаунтах;
- не включать легко угадываемую личную информацию: имя, день рождения и другие данные, которые могут ассоциироваться с вами;
- регулярно менять пароль;
- проверять свои учетные данные с помощью онлайн-инструментов на предмет компрометации.
Идеальный пароль состоит из прописных и строчных букв, цифр и специальных символов. NordPass советует ориентироваться не менее чем на 20 знаков в общей сложности (в Huntress «согласны» на 16). Примеры сильных паролей:
Также специалисты по кибербезопасности рекомендуют пользоваться специальными сервисами — менеджерами паролей и, если есть такая опция, подключать многофакторную аутентификацию. Провайдерам услуг эксперты советуют переходить на технологию Passkey («ключ доступа»), включая ту же биометрию, в качестве альтернативы паролям.
