Самыми популярными паролями 2021 года у россиян стали «qwerty123», «qwerty1» и «123456». Об этом говорится в исследовании сервиса DLBI (есть у «Известий»). Среди кириллических паролей наиболее распространены «йцукен», «пароль» и «любовь». Простые учетные данные опасны тем, что их легко выявить методом перебора и взломать аккаунт. В крупнейших банках, почтовых сервисах и социальных сетях уверили «Известия», что не позволяют пользователям устанавливать легкие пароли от личных кабинетов.
Все знают пароль
В ходе исследования сервиса разведки утечек данных и мониторинга даркнета DLBI было проанализировано 35,5 млрд пар логинов и паролей, включая 250 млн новых (попавших в открытый доступ из-за различных утечек данных в 2021 году). Только 3,5% паролей из этого массива — сложные (содержат буквы, цифры и спецсимволы), и лишь 16,5% — длинные (более 10 знаков). Самыми популярными учетными данными в 2021 году стали «qwerty123», «qwerty1» и «123456». В пятерку также вошли «a11111» и «123456789».
Наиболее распространенные пароли в России (для учетных записей в доменных зонах .RU и .РФ) мало отличаются от мировых: в топ-5 входят «qwerty123», «qwerty1», «123456», «asdasd» и «12345», говорится в исследовании. Другими участниками десятки наиболее популярных паролей в РФ стали «123456789», «asdasd123», «12345678», «qwerty» и «123321».
«В традиционный топ самых популярных кириллических паролей вошли: «йцукен», «пароль», «любовь» (поднявшаяся с четвертого места), «привет» (в прошлом году занимавший пятое место), «наташа» (перешедшая с шестого места), «максим» (с седьмого места), «марина» (поднявшаяся с девятой позиции), «люблю», «андрей» (занимавшие десятое место) и «кристина», — отмечается в исследовании DLBI.
— Возможный ущерб от подбора паролей для физических лиц с каждым годом возрастает. Очень часто, получив доступ, например, к электронной почте злоумышленники могут сбросить пароль к онлайн-банку или сервису «Госуслуги», попытавшись обойти двухфакторную аутентификацию с помощью социальной инженерии. И это если SMS-подтверждение вообще включено, что для тех же госуслуг далеко не правило, — опасается основатель DLBI Ашот Оганесян.
Используя легкие пароли при отсутствии двухфакторной аутентификации (с помощью кода из СМС), пользователь рискует лишиться доступа к своим страницам и личным кабинетам на разных ресурсах. Особенно опасно, если злоумышленники получат доступ к основной почте человека, заявил начальник информационной безопасности «СёрчИнформ» Алексей Дрозд. Он пояснил: попав в основной почтовый ящик, мошенники могут завладеть большим количеством информации, «сбросив» пароль от других сервисов. К некоторым из них может быть привязана банковская карта клиента.
Также опасно, если злоумышленник сможет захватить доступ к аккаунту человека на госуслугах, подчеркнул эксперт. Это позволит мошеннику увидеть актуальные документы гражданина, перевыпустить его электронную подпись, а также иметь практически сквозной доступ ко всем государственным информационным системам.
Защиту гарантируют
Крупнейшие банки, почтовые сервисы, социальные сети и онлайн-ритейлеры устанавливают высокие требования к паролям, которые клиенты используют для доступа в личные кабинеты. Об этом «Известиям» сообщили в Росбанке, ВТБ, крымском РНКБ, Райффайзенбанке, ПСБ, а также в «Яндексе», Google, «ВКонтакте», «Одноклассниках» и на «Авито».
В частности, регламентируется минимальное количество знаков, обязательное наличие букв разного регистра, цифр, специальных символов, уточнили в ПСБ. В ВТБ пароль не должен состоять из одинаковых цифр, идущих подряд, а также следующих друг за другом по возрастанию или убыванию. В онлайн-кабинете Райффайзенбанка пароль требуется менять каждые 365 дней, подчеркнул его представитель. Кроме того, для проведения платежных операций большинство кредитных организаций требуют дополнительно подтверждать перевод кодом из SMS.
Пароли проверяются на безопасность каждый раз, когда пользователи вводят их для входа на сервисы «Яндекса»: для этого в том числе используется база из 1,2 млрд скомпрометированных учетных данных, рассказал представитель компании. Такую же проверку проводят во «ВКонтакте». В Google сообщили, что советуют придумать пароль длиной не менее 12 символов, например цитату из фильма или строчку из любимого стихотворения. Важно избегать использования личных данных, так как они могут быть известны другим, или общеупотребительных слов, потому что их легко подобрать, добавили в компании.
В Wildberries и Ozon, где в личных кабинетах можно подвязать банковскую карту, для авторизации в личном кабинете вовсе не нужно устанавливать и запоминать пароль: кабинет привязан к номеру телефона, и войти туда можно с помощью кодов, направленных по SMS или push.
Самая распространенная технология подбора пароля называется brute force, она давно используется злоумышленниками: к программному коду подключаются антологии популярных паролей и справочники слов, рассказал директор по продуктовой стратегии Группы Т1 Сергей Иванов. Он уточнил: при скорости перебора 10 млн паролей в секунду сочетание символов из шести латинских букв одного регистра можно подобрать за 31 секунду. На взлом пароля, состоящего из шести символов (букв разного регистра и цифр) понадобится всего 95 минут, а если он содержит 10 знаков — уже 2,5 года, уточнил эксперт.
В Минцифры рекомендовали использовать сложные и уникальные пароли для важных сервисов, таких как Госуслуги.