И в мире, и в России самыми популярными паролями в 2023 году стали «123456», «123456789» и «1000000». Если первые два также занимали лидирующие позиции в предыдущий год, то последний попал в рейтинг впервые. В топ-10 входят не только вариации из последовательных цифр, но и сочетания «123123qwe», «qwerty» и «Qwerty123». Раньше все три в список не попадали.
Информация об исследовании взята из сервиса разведки утечек данных и мониторинга даркнета DLBI. «Пользователи не просто выбирают простейшие пароли, но применяют одни и те же сочетания для различных сервисов. Это создает угрозу взлома с помощью повторного их использования (password reuse)», — предупредил основатель DLBI Ашот Оганесян.
Из 200 млн учетных записей (пар электронная почта и пароль), попавших в открытый доступ из-за сливов информации в 2023, которые проанализировали эксперты, только 44 млн паролей оказались уникальными. Одна и та же пара логин/пароль присутствует в среднем в пяти разных утечках.
Самыми распространенными кириллическими комбинациями символов оказались «йцукен», «подружка», «пароль», «12345Е», «ЙЦУКЕН123». Причем «подружка» до этого в рейтинге не фигурировала. В топ-10 также вошли «привет», «123йцу», «марина», «йцукен12345» и «йцукенгшщз».
Чтобы ускорить процесс взлома паролей, мошенники используют так называемые словари — база похищенных ранее паролей, размеры таких словарей достигают более 100 гб. Злоумышленнику не нужно перебирать все возможные комбинации символов, об этом рассказал начальник управления информационной безопасности «Ренессанс Банка» Дмитрий Стуров.
Технологии не стоят на месте, в том числе квантовые, что позволяет за минуту взламывать пароли, которые состоят менее, чем из 10 символов, состоящие только из строчных букв, а сочетания из цифр — еще быстрее, уточнили в «МТС банке». Сложные комбинации символов более устойчивы, если произошла утечка сведений с ресурса, — такие пароли труднее и дольше дешифровать, добавил руководитель аналитического центра компании Zecurion Владимир Ульянов.
Крупные компании, которые работают с чувствительными данными пользователей, обычно предъявляют высокие требования к паролям. Устанавливать сложные сочетания символов требуют в ВТБ, «Росбанке», «Газпромбанке», «Зените», «Абсолюте», крымском РНКБ, а также в «Мегафоне». ВТБ требует, чтобы пароль содержал хотя бы одну заглавную, одну строчную буквы, одну цифру и один спецсимвол. Сочетание необходимо регулярно менять, добавили в РНКБ. Причем важно, чтобы новый пароль не совпадал с предыдущими.
Крупнейшие финансовые организации, в свою очередь, применяют двухфакторную аутентификацию — подтверждают вход при помощи кода из СМС. В пресс-службе «Вконтакте» заявили, что также рекомендуют всем пользователям использовать второй фактор, а еще — в соцсети есть возможность применять беспарольный метод авторизации через OnePass. Сейчас обязательное подтверждение вторым фактором также есть на «Госуслугах».
Если мошенники получили доступ даже к менее чувствительной информации, а не финансовым или паспортным данным — это несет негативные последствия, констатировал Александр Санин из SafeTech Lab. Это грозит тем, что злоумышленники могут собрать множество информации (адрес почты с одного сервиса, дату рождения с другого, адрес регистрации с третьего) о пользователе с разных «неважных» сервисов. В совокупности этой информации может хватить для использования во вред.
Мошенники становятся хитрее и умнее, они тщательно готовятся к атакам, подбирая подход к каждой жертве индивидуально. Они начали предварительно изучать людей: их профиль в соцсетях, круг друзей, место работы, материальное положение. Они также оценивают, на какую сумму человеку могут выдать кредит, чтобы увеличить свои шансы на удачный исход.
Вадим Кулик также рассказал, что зафиксированы первые случаи, когда мошенники применяли записи голоса, чтобы подменить биометрию клиентов, сгенерировав разговор от их лица. Также преступники используют дипфейки. Они с помощью ИИ создают образ человека по фото и видео в открытом доступе в сети, затем «подтверждают личность» на видеоконсультации с банком и получают доступ к средствам клиента.
На базе фотографий с помощью искусственного интеллекта действительно можно сделать реалистичное видео, подтвердил Александр Санин. При помощи этой комбинации злоумышленники пытаются обмануть те или иные сервисы, выдавая себя за пользователя.
Ранее менеджер паролей NordPass совместно с независимыми исследователями составил рейтинг топ-20 распространенных паролей в 2023 году во всем мире. Оказалось, что 17 из них можно взломать за секунду. Наиболее распространенные пароли представляют собой простые комбинации.