19 млрд паролей, и только 6% из них имеют смысл: топ комбинаций, которые буквально кричат «Взломай меня!»

За последний год несколько громких инцидентов, включая взломы Snowflake и утечку данных SOCRadar.io, предоставили киберпреступникам доступ к миллиардам учетных записей. Исследовательская команда Cybernews провела масштабный анализ скомпрометированных данных, чтобы выявить основные тенденции в создании паролей в 2025 году. Выводы не радуют…

Мы столкнулись с масштабной эпидемией повторного использования ненадежных комбинаций символов. Лишь 6% паролей можно назвать уникальными, что делает учетные записи легкой мишенью для словарных атак. Для большинства аккаунтов единственной защитой служит двухфакторная аутентификация – и то лишь в случаях, когда она активирована, – отмечает Неринга Мацияускайте, специалист по информационной безопасности Cybernews.

В поле зрения экспертов оказались данные из примерно 200 утечек, включая базы от вредоносных программ и комбинированные списки доступа, попавшие в в сеть с апреля 2024 года. Общий объем проанализированной информации составил более 19 миллиардов записей, из которых лишь 1,14 миллиарда оказались неповторяющимися.

При обработке материалов специалисты применили комплексный подход, совместив методы разведки по открытым источникам, киберразведки и технической автоматизации. Команда также разработала специальные словари для классификации составных элементов и задействовала скрипты на Python и Bash для оценки длины, состава символов и использования специальных знаков.

Изначальный массив данных занял более 3 терабайт и содержал сведения, позволяющие похищать аккаунты или совершать кражу личности. После тщательной фильтрации и анонимизации объем сократился до 213 гигабайт. Исследователи подчеркивают: злоумышленники получают доступ не только к секретным фразам, но и к связанным email-адресам и персональной информации.

Анализ показал, что 42% владельцев аккаунтов выбирают защитные последовательности длиной 8-10 символов, причем восьмизначные варианты лидируют по популярности. Почти треть (27%) кодов состоит исключительно из строчных букв и цифр. Числовую комбинацию "1234", что неудивительно, применяют в 727 миллионах случаев, а её расширенный вариант "123456" встречается в 338 миллионах записей.

Использование стандартных значений остается одной из самых серьезных проблем. Комбинации «password» и «admin» встречаются в 56 и 53 миллионах случаев соответственно, что свидетельствует о массовом применении простейших, предсказуемых вариантов, – поясняет Мацияускайте.

Многие либо не меняют заводские настройки устройств, либо намеренно дублируют подобные комбинации для других сервисов.

Личные имена заняли второе место по распространенности среди составных частей защитных фраз. Сопоставив базу данных со списком ста наиболее популярных имен 2025 года, аналитики обнаружили, что их включают в состав пароля в 8% случаев. В рейтинге лидирует имя Ana, фигурирующее почти в 179 миллионах образцов, хотя часть совпадений объясняется его вхождением в другие слова (например, "banana" использовали 3,7 миллиона раз).

При создании кодов доступа люди часто обращаются к позитивным понятиям. Слово "love" фигурирует в 87 миллионах записей, "sun" – в 34 миллионах, "dream" – в 6,1 миллиона, "joy" – в 6,9 миллиона, а "freedom" – в 2 миллионах случаев. Поп-культура также влияет на выбор: Mario встречается в 9,6 миллиона комбинаций, Batman – в 3,9 миллиона, Thor – в 6,2 миллиона, а героиня "Холодного сердца" Elsa – в 2,9 миллиона.

Старая добрая бранная лексика не теряет акутальности. Сочетание "ass" обнаружено в 165 миллионах вариантов, что частично объясняется его вхождением в "pass" и "password". Есть и другие, более однозначные примеры вроде "fuck" (16 миллионов), "shit" (6,5 миллиона), "dick" и "bitch" (по 3,2 миллиона).

Кто-то находит вдохновение в природе и географии. Рим упоминается в 13 миллионах комбинаций. Среди животных первенство держат лев (9,8 миллиона) и лиса (7,8 миллиона). Лето встречается в 3,8 миллиона кодов, а понедельник стал самым популярным днем недели (0,8 миллиона).

В списке месяцев лидирует май (28 миллионов упоминаний), за ним следует апрель (5,2 миллиона). Гастрономические предпочтения тоже отразились в статистике: "tea" используется в 36 миллионах случаев, "apple" – в 10,7 миллиона, "rice" – в 4,9 миллиона, "orange" – в 3,6 миллиона, а "pizza" – в 3,3 миллиона защитных комбинаций.

Среди коммерческих наименований первенство удерживает Google (25,9 миллиона), следом идут Facebook (18,7 миллиона) и Kia (12,7 миллиона). Профессиональная сфера представлена словами "boss" (10 миллионов), "hunter" (6,6 миллиона) и "cook" (4,2 миллиона). Из американских штатов чаще других фигурируют Каролина (1,9 миллиона), Дакота (1,2 миллиона) и Техас (1,1 миллиона).

Есть, конечно, и хорошая новость: за последние годы наметились позитивные изменения в подходе к защите данных. Если в 2022 году только 1% секретных фраз содержал все типы символов (строчные и заглавные буквы, цифры, специальные знаки), то сейчас этот показатель достиг 19%. Однако эксперты предупреждают о серьезной опасности: повторное использование одних и тех же комбинаций, что очевидно, создает эффект домино – компрометация одной учетной записи открывает доступ к остальным.

Злоумышленники применяют автоматизированные инструменты для массовой проверки украденных логинов и паролей на различных платформах. Несмотря на кажущуюся неэффективность, успешность таких атак колеблется от 0,2% до 2%, что делает их весьма прибыльными. При проверке миллионов учетных данных можно получить доступ к тысячам аккаунтов.

По данным Enzoic, ненадежные пароли стали причиной 30% заражений программами-вымогателями в 2019 году, и эта проблема сохраняет актуальность по сей день. Пробравшись в систему, злоумышленники часто не нуждаются в дополнительных технических навыках – они быстро повышают привилегии и разворачивают вредоносное ПО, что приводит к сбоям в работе и финансовым потерям.

Как себя обезопасить? Аналитики рекомендуют использовать менеджеры паролей, создавать уникальные комбинации длиной от 12 символов со всеми типами знаков и активировать многофакторную аутентификацию. Организациям советуют проводить регулярный аудит безопасности, отслеживать утечки в реальном времени и применять современные алгоритмы хеширования. Особое внимание следует уделить контролю доступа и политикам безопасности, требуя использования сложных паролей длиной не менее 16 символов. Впрочем, всё как всегда.