Пользователи продолжают собирать пароли из самых очевидных слов
Пароль всё ещё часто строят не как защиту, а как подсказку для взломщика: дата, имя, 1234, qwerty или слово love в компании с парой цифр. Касперский проанализировал 231 миллион уникальных паролей, попавших в крупные утечки с 2023 по 2026 год в разных странах, включая Россию, и выяснил, какие комбинации пользователи выбирают чаще всего.
Самым заметным шаблоном стали цифры. 53% утёкших паролей заканчивались числовыми символами, 17% начинались с цифр, почти 12% содержали последовательность, похожую на дату в диапазоне от 1950 до 2030 года. Ещё 3% включали клавиатурные цепочки вроде qwerty или ytrewq.
Руководитель направления исследования данных компании Алексей Антонов отмечает, что даты и очевидные сочетания в начале или конце пароля сильно упрощают подбор. Злоумышленникам нужно меньше времени, когда комбинация построена по знакомой схеме. Снизить риск помогают случайные пароли из букв, цифр и символов, а не привычные слова с добавленными числами.
В паролях часто встречаются слова с положительным оттенком: love, magic, friend, team, angel, star и eden. Негативная лексика попадается реже, но среди заметных вариантов оказались hell, devil, nightmare и scar. Пользователи берут за основу и трендовые слова: с 2023 по 2026 год число упоминаний Skibidi в паролях выросло в 36 раз.
Мы в MAX. Простите.
Пароль из одного слова остаётся слабым даже после добавления цифр или символов в конце. Подобные комбинации легко предсказать, поэтому безопаснее использовать случайные наборы символов. Если в пароле всё же есть реальные слова, усложнить подбор помогают намеренные орфографические ошибки. Дополнительную защиту даёт двухфакторная аутентификация, особенно для почты, банковских сервисов и важных рабочих аккаунтов.
Анализ показал, что 60,2% утёкших паролей можно подобрать примерно за час, а 68,2% за день. Длина сама по себе уже не спасает: из-за развития ИИ-инструментов более 20% паролей длиной 15 символов могут быть взломаны менее чем за минуту. В реальных атаках времени иногда требуется ещё меньше, потому что преступники используют словари, старые утечки и типичные привычки пользователей.
Надёжный пароль должен содержать минимум 16 знаков, случайные заглавные и строчные буквы, цифры и символы. Для каждой учётной записи нужна отдельная комбинация: повтор одного пароля в нескольких сервисах превращает одну утечку в доступ сразу к нескольким аккаунтам. Запоминать десятки сложных паролей вручную почти невозможно, поэтому безопаснее хранить учётные данные в менеджере паролей с шифрованием и защищать вход мастер-паролем.
В российских паролях на кириллице специалисты нашли имена вроде «влад» и «саша», а также клавиатурные последовательности 123456 и «йцукен». Часто пользователи набирают русские слова английскими буквами: «папа» превращается в gfgf, «мама» в vfvf, «пароль» в gfhjkm. Встречается и обратный приём: «мдфв» соответствует vlad, «вшьф» соответствует dima, «шмфт» соответствует ivan.
Исследование ещё раз показывает, что слабый пароль редко выглядит случайной ошибкой. Чаще пользователь сам собирает комбинацию из понятных для себя фрагментов, а злоумышленник затем проверяет такие варианты в первую очередь. Чем меньше в пароле дат, имён, словарных слов и клавиатурных цепочек, тем сложнее подобрать доступ к аккаунту обычным перебором.