Ты мне больше не «подружка»: названы самые популярные пароли 2023 года
В топ самых популярных паролей в России в 2023-м вошли «123456», «1000000» и «12345zz», а также «йцукен», «подружка» и «пароль». Об этом говорится в исследовании DLBI. Комбинации остаются простыми из года в год. Хотя организации, которые хранят чувствительные сведения, требуют устанавливать сложные сочетания символов и двухфакторную аутентификацию, доступ к менее значимым сайтам злоумышленники всё еще могут получить за минуту. Информацию о людях используют социальные инженеры, а также ее применяют для создания дипфейков, предупредили эксперты.
Какие пароли чаще всего используют россияне
И в мире, и в России самыми популярными паролями в 2023 году стали «123456», «123456789» и «1000000». Если первые два также занимали лидирующие позиции в предыдущий год, то последний попал в рейтинг впервые. В топ-10 входят не только вариации из последовательных цифр, но и сочетания «123123qwe», qwerty и «Qwerty123». Раньше все три в список не попадали. В России рейтинг также пополнился сочетанием «12345zz».
Такие выводы содержатся в исследовании сервиса разведки утечек данных и мониторинга даркнета DLBI (есть у «Известий»). Эксперты проанализировали 200 млн учетных записей (пар электронная почта и пароль), попавших в открытый доступ из-за сливов информации в прошлом году. Из них лишь 44 млн оказались уникальными, то есть одна и та же пара логин/пароль присутствует в среднем в пяти разных утечках.
Самыми распространенными кириллическими комбинациями символов в 2023 году оказались «йцукен», «подружка», «пароль», «12345Е», «ЙЦУКЕН123». Причем «подружка» до этого в рейтинге не фигурировала. В топ-10 также вошли «привет», «123йцу», «марина», «йцукен12345» и «йцукенгшщз».
— Пользователи не просто выбирают простейшие пароли, но применяют одни и те же сочетания для различных сервисов. Это создает угрозу взлома с помощью повторного их использования (password reuse), — предупредил основатель DLBI Ашот Оганесян.
Проблема в том, что пользователи зачастую не разделяют ресурсы на «важные» и «не очень», отметил генеральный директор SafeTech Lab Александр Санин. Люди, как правило, используют два-три стандартных пароля для всех своих сервисов. После взлома одного доступ открывается сразу к нескольким, пояснил эксперт. Таким образом, под угрозой могут оказаться даже корпоративные аккаунты.
Как компании защищают пароли пользователей
— Почти все методики подбора основаны на так называемых словарях — базах похищенных паролей. Тогда злоумышленнику не нужно перебирать все возможные комбинации символов. Во время атаки применяются словари размером более 100 гигабайт, а также используются графические процессоры, позволяющие ускорить этот процесс, — предупредил начальник управления информационной безопасности Ренессанс Банка Дмитрий Стуров.
Быстрое развитие технологий, в том числе квантовых, позволяет за минуту взламывать пароли меньше 10 символов, состоящие только из строчных букв, а сочетания из цифр — еще быстрее, уточнили в МТС-банке. Сложные комбинации символов также более устойчивы, если произошла утечка сведений с ресурса, — их труднее и дольше дешифровать, добавил руководитель аналитического центра компании Zecurion Владимир Ульянов.
Впрочем, крупные компании, которые работают с чувствительными данными пользователей, обычно предъявляют высокие требования к паролям. Устанавливать сложные сочетания символов требуют в ВТБ, Росбанке, Газпромбанке, «Зените», «Абсолюте», крымском РНКБ, а также в «Мегафоне», сообщили «Известиям» в пресс-службах этих организаций.
В частности, в пароле необходимо использовать хотя бы одну заглавную букву, одну строчную, одну цифру и один спецсимвол, уточнили в ВТБ. Сочетание требуется регулярно менять, добавили в РНКБ. Причем важно, чтобы новый пароль не повторял предшествующие.
Кроме того, крупнейшие финансовые организации применяют двухфакторную аутентификацию — еще и с помощью кода из СМС. В пресс-службе «Вконтакте» заявили, что также рекомендуют всем пользователям использовать второй фактор, а еще — в соцсети есть возможность применять беспарольный метод авторизации через OnePass.
Сейчас обязательное подтверждение вторым фактором также есть на «Госуслугах». «Известия» направили запрос в Минцифры о требованиях к паролям.
Чем опасна утечка даже нечувствительных данных
Тем не менее даже если хакеры получат доступ к менее чувствительной информации (не финансовой и не паспортным данным), это несет негативные последствия, констатировал Александр Санин из SafeTech Lab.
— Применение простых паролей на «неважных» сервисах чревато тем, что злоумышленники могут собрать множество информации о пользователе с разных «неважных» сервисов (адрес почты с одного сервиса, дату рождения с другого, адрес регистрации с третьего) и объединить в одну базу. И уже эта совокупность информации может быть использована во вред, — пояснил он.
Сведения о человеке могут использоваться для атак на него. В последнее время мошенники стали персонифицировать подход к каждой жертве, говорил в интервью «Известиям» зампред ЦБ Герман Зубарев. Злоумышленники стали предварительно изучать людей: их профиль в соцсетях, круг друзей, место работы, материальное положение. Они также оценивают, на какую сумму человеку могут выдать кредит.
Сбор и накопление данных о гражданах — тренд последних месяцев, заявлял и зампред правления ВТБ Вадим Кулик на Уральском форуме ЦБ по кибербезопасности. По его словам, злоумышленники перестали монетизировать украденные сведения в моменте. Усиление киберразведки заметно, но при этом пока неизвестно, по каким сценариям эта информация будет применяться против граждан.
Вадим Кулик также рассказал, что зафиксированы первые случаи, когда мошенники применяли записи голоса, чтобы подменить биометрию клиентов, сгенерировав разговор от их лица. Также преступники используют дипфейки. Они создают образ человека по открытым фото и видео в Сети, затем «подтверждают личность» на видеоконсультации с банком и получают доступ к средствам клиента.
На базе фотографий с помощью искусственного интеллекта действительно можно сделать реалистичное видео, подтвердил Александр Санин. При помощи этой комбинации злоумышленники пытаются обмануть те или иные сервисы, выдавая себя за пользователя.