Каждый третий житель России использует всего три пароля для доступа ко всем своим аккаунтам — об этом свидетельствуют данные исследования сервиса DLBI, специализирующегося на мониторинге утечек информации и даркнета. Эксперты предупреждают: злоумышленники способны взломать такие комбинации мгновенно. Подробнее о причинах уязвимости паролей россиян, связанных с этим рисках и способах защиты — в материале «Известий».
Особенности парольной политики российских пользователейСогласно данным DLBI, лишь 47% россиян применяют от четырех до семи различных паролей. Исследование проводилось на основе анализа учетных данных, обнаруженных на даркнет-ресурсах и в закрытых Telegram-каналах, сообщили «Известиям» представители компании.
Распределение пользователей по количеству используемых паролей:
— 4–7 паролей — 47%;
— 1–3 пароля — 30%;
— 8 и более паролей — только 23%.
Как пояснили в DLBI, для взлома учетной записи в почтовом сервисе или соцсети злоумышленникам требуется около трех минут — большая часть этого времени уходит на ожидание между попытками ввода. Однако если человек применяет три или меньше уникальных комбинаций, взлом происходит практически моментально.
— Ситуация постепенно ухудшается: люди всё реже обновляют пароли, — отмечают аналитики. — Если несколько лет назад минимальное количество комбинаций использовали 22% россиян, то сейчас их доля выросла до 30%. При этом современные технологии позволяют легко создавать надежные пароли — например, через встроенные функции браузеров.
Как происходит утечка паролей?По словам Виталия Фомина, руководителя группы аналитиков Лиги цифровой экономики, основной источник утечки — взлом баз данных различных онлайн-сервисов и компаний.
— Даже зашифрованные данные можно расшифровать современными методами, — поясняет эксперт. — Кроме того, мошенники активно используют фишинг и вредоносное ПО.
Фомин также отметил, что злоумышленники создают поддельные версии популярных сайтов, включая «Госуслуги», которые сложно отличить от оригиналов. Вредоносные программы, установленные на устройства, могут перехватывать вводимые пароли и передавать их злоумышленникам.
ТОП-10 самых распространенных паролей в утечках 2024 года (по данным DLBI):
— 123456 (лидер прошлого года);
— 12345678 (поднялся с 4 места);
— 123456789 (был вторым в 2023);
— Password (новинка рейтинга);
— 1234 (новый участник);
— 12345 (ранее занимал 5 строчку);
— 1234567890 (сохранил позицию);
— 1234567 (дебютировал);
— password (впервые в списке);
— 102030 (новое появление).
Максим Александров, эксперт компании «Код Безопасности», уточнил, что хакеры получают не сами пароли, а их хэши, которые затем расшифровывают. Эти данные используют для доступа к различным сервисам, поскольку многие пользователи применяют одинаковые пароли на разных платформах. Взломанные аккаунты часто становятся частью бот-сетей.
Последствия утечек для пользователей и организацийАлександр Вураско, представитель Solar AURA, подчеркивает, что жертвой утечки может стать даже осторожный пользователь — например, из-за ошибки сотрудников интернет-магазина, где он совершал покупки.
— Многие компании недостаточно тщательно соблюдают правила хранения данных, — говорит эксперт. — При слабой защите хакерам достаточно специального софта и мощного оборудования для взлома.
Утечки грозят не только потерей личных данных, но и расширением мошеннических схем — злоумышленники могут атаковать окружение пострадавшего, используя методы социальной инженерии, добавляет Максим Александров.
Основатель DLBI Ашот Оганесян обратил внимание, что пользователи с малым количеством паролей почти наверняка применяют их и в корпоративных системах, подвергая риску работодателя. Взлом таких аккаунтов возможен даже при удаленном доступе.
Эффективные методы защитыМаксим Александров объясняет, что россияне избегают сложных паролей из-за трудностей с запоминанием — особенно если комбинации содержат разные регистры и спецсимволы. При этом низкий уровень кибергигиены приводит к использованию одного пароля на множестве ресурсов.
Сергей Полунин из «Газинформсервиса» отмечает, что пока пользователь не столкнется с последствиями, он редко задумывается о безопасности. Сами сервисы часто не требуют сложных паролей, усугубляя ситуацию.
Александр Вураско рекомендует использовать бессмысленные комбинации символов, созданные генераторами паролей. Для хранения таких данных идеально подходят менеджеры паролей, многие из которых включают встроенные генераторы.
— И частным пользователям, и компаниям стоит применять уникальные пароли, двухфакторную аутентификацию и регулярно проверять данные на предмет утечек, — резюмирует Ашот Оганесян. Организации могут интегрировать такие проверки в свои системы для оперативного блокирования скомпрометированных учетных записей.