Ключ от всех дверей: почему аккаунты россиян легко взламывают

Треть россиян использует для всех сервисов лишь три пароля

Треть российских пользователей применяет для доступа к аккаунтам всего три пароля - к таким выводам пришли специалисты сервиса разведки утечек данных и мониторинга даркнета DLBI. Как отметили эксперты, злоумышленники могут подобрать такую комбинацию за секунду и даже быстрее. Подробнее о том, почему пароли россиян оказываются уязвимы для мошенников, чем это опасно и как защититься от подобных угроз, читайте в материале "Известий".

Какие пароли используют российские пользователи

Меньше половины россиян пользуется для входа в аккаунты четырьмя и более паролями, выяснили в рамках исследования специалисты российского сервиса разведки утечек данных DLBI. Базой для анализа стали пары "логин-пароль", опубликованные на площадках Даркнета и в закрытых Telegram-каналах, рассказали "Известиям" эксперты компании.


Какое количество паролей используют российские пользователи:

- 4-7 паролей - 47% пользователей;

- 1-3 пароля - 30% пользователей;

- 8 и более паролей - лишь 23%.

Специалисты DLBI отметили, что для взлома аккаунта в популярных почтовых сервисах или соцсетях, с перебором 10 паролей, злоумышленникам понадобится около трех минут, большую часть из которых займут вынужденные паузы после трех неудачных попыток. Если же пользователь применяет три и менее уникальных комбинаций, подобрать ее можно меньше чем за секунду.


- Со временем ситуация только ухудшается, люди все реже стараются придумывать новые пароли, - подчеркнули исследователи. - Например, несколько лет назад один-три пароля использовали 22% россиян, а четыре-семь паролей - лишь 37%. И это при том, что создать уникальную комбинацию для доступа к ресурсу сегодня можно не только с помощью менеджера паролей, но и практически через любой браузер.

Как пароли российских пользователей попадают в Сеть?

Один из наиболее распространенных каналов утечки учетных данных - взлом баз данных веб-сайтов, онлайн-магазинов, крупных компаний и сервисов, говорит в беседе с "Известиями" руководитель группы аналитиков по информационной безопасности Лиги цифровой экономики Виталий Фомин.

- Даже если подобные сведения защищены шифром, современные методы позволяют раскрыть значительную часть этой информации и получить доступ к персональным данным. Помимо этого, мошенники нередко прибегают к фишинговым атакам, - рассказывает эксперт.

По словам Виталия Фомина, еще один канал получения данных - поддельные сайты или сервисы вроде "Госуслуг", которые не все могут отличить от настоящих. Кроме того, часто злоумышленники устанавливают вредоносное программное обеспечение (ВПО) на устройства пользователей для кражи конфиденциальной информации, включая пароли. Такие программы могут записывать нажатия клавиш на клавиатуре, а затем передавать данные для взлома.


ТОП-10 самых популярных паролей, попавших в утечки в 2024 году (данные DLBI):

- 123456 (сохранил первое место);

- 12345678 (занимал четвертое место в 2023 году);

- 123456789 (занимал второе место в 2023 году);

- Password (новый пароль);

- 1234 (новый пароль);

- 12345 (занимал пятое место в 2023 году);

- 1234567890 (сохранил седьмое место);

- 1234567 (новый пароль);

- password (новый пароль);

- 102030 (новый пароль).

Важно понимать, что крадут не сами пароли в "чистом" виде, а их хэш-слепки, которые позволяют при известном алгоритме генерации хэша довольно быстро подобрать исходную комбинацию, рассказывает эксперт программных продуктов компании "Код Безопасности" Максим Александров.


Полученные комбинации злоумышленники могут использовать для получения доступа к различным популярным сервисам, поскольку юзеры часто применяют один и тот же пароль для разных платформ. Кроме того, взломанные аккаунты нередко становятся частью бот-сети, отмечает эксперт.

Чем опасны утечки паролей для пользователей и их работодателей

Пострадать из-за утечки данных может любой, даже осторожный пользователь, говорит в беседе с "Известиями" директор по развитию центра мониторинга внешних цифровых угроз Solar AURA (ГК "Солар") Александр Вураско. Например, если виной тому станет чужая ошибка.

- Вы сделали заказ в интернет-магазине, а через несколько месяцев его взломали - и ваши данные вместе с паролем оказались в руках злоумышленников. Хотя пароли не должны храниться в открытом виде, многие компании не соблюдают правила безопасности тщательно, - рассказывает специалист. Если у компании слабая защита, хакерам для взлома будет достаточно специальной программы и мощного компьютера.

Подобные утечки несут опасность не только потери или раскрытия конфиденциальных данных, но и возможного расширения мошеннических схем: полученную информацию могут применить для атак на ближайшее окружение пользователя. Здесь в ход идет социальная инженерия, дополняет Максим Александров.

Любопытно, что те, кто применяет менее семи уникальных паролей, гарантированно использует один из них в корпоративной сети, отмечает основатель сервиса DLBI Ашот Оганесян. И в этом случае опасности подвергается не только человек, но и его работодатель.


Если компания предоставляет доступ к своим ресурсам извне, например для удаленной работы, небольшое количество паролей такого пользователя можно легко проверить перебором.

- Некоторую сложность составляет подбор корпоративного e-mail на основе имеющегося в утечке, однако хакеры давно научились решать эту проблему в автоматическом режиме, используя результаты скрапинга социальных сетей, - подчеркивает Ашот Оганесян.

Как пользователям защитить себя от взлома паролей мошенниками

От множества разных паролей россияне отказываются по ряду причин, но в основном потому, что сложный буквенно-цифровой пароль труднее запомнить, поясняет Максим Александров. Особенно если комбинация дополнительно включает буквы разного регистра и спецсимволы. А учитывая, что надежный пароль не должен быть осмысленным, запомнить его становится еще сложнее.

- Но даже если пользователь придумал и запомнил сложный пароль, уровень кибергигиены у многих юзеров не очень высок. Поэтому одна и та же комбинация применяется и для входа на "Госуслуги", и для менее защищенных сайтов, - рассказывает специалист. - Утечка из базы данных одного портала приведет к потере аккаунтов и на более серьезных ресурсах.

Пока пользователя не взломают, ему довольно сложно представить последствия легкомысленного подхода к составлению паролей, который умножается на лень и привычку, дополняет руководитель группы защиты инфраструктурных IT-решений компании "Газинформсервис" Сергей Полунин. Однако и сами сервисы зачастую потворствуют такой психологии, не выставляя требований к паролям и их сложности.


Лучший способ защититься от взлома - использовать сложные пароли без смысла (например, набор случайных букв, цифр и символов), которые невозможно угадать, говорит Александр Вураско. Для этого отлично подходят специальные генераторы паролей, которые создают надежные комбинации за пользователей.

А не забыть такую комбинацию поможет менеджер паролей - программа, которая с одной стороны надежно хранит данные, а с другой - автоматически подставляет их при входе на сайты. Более того: многие менеджеры уже имеют встроенный генератор паролей - это удобно и безопасно.

- И пользователям, и компаниям можно посоветовать одно: генерировать уникальные пароли, максимально широко использовать двухфакторную аутентификацию и не пренебрегать сервисами проверки попадания данных в утечки, - заключает Ашот Оганесян. По словам эксперта, компании могут подключать свои хранилища учетных записей к таким сервисам напрямую и максимально быстро блокировать скомпрометированные логины и пароли.

Лучший способ защититься от взлома - использовать сложные пароли без смысла (например, набор случайных букв, цифр и символов), которые невозможно угадать, говорит Александр Вураско. Для этого отлично подходят специальные генераторы паролей, которые создают надежные комбинации за пользователей.

А не забыть такую комбинацию поможет менеджер паролей - программа, которая с одной стороны надежно хранит данные, а с другой - автоматически подставляет их при входе на сайты. Более того: многие менеджеры уже имеют встроенный генератор паролей - это удобно и безопасно.

- И пользователям, и компаниям можно посоветовать одно: генерировать уникальные пароли, максимально широко использовать двухфакторную аутентификацию и не пренебрегать сервисами проверки попадания данных в утечки, - заключает Ашот Оганесян. По словам эксперта, компании могут подключать свои хранилища учетных записей к таким сервисам напрямую и максимально быстро блокировать скомпрометированные логины и пароли.

Дмитрий Булгаков, Яна Штурма