Половина интернета живёт под паролем «Password1». Вторая — уже взломана

В новой аналитике , основанной на изучении 10 миллионов реально скомпрометированных паролей, специалисты Specops показали, насколько уязвимыми остаются корпоративные сети из-за человеческого фактора. Все пароли были взяты из списка из более чем миллиарда утечек. Результат оказался тревожным: лишь 1,5% всех проанализированных паролей могут быть отнесены к категории «надёжных».

Критерии для этого определения были строгими: надёжным считался пароль длиной от 15 символов и содержащий как минимум два разных типа символов — например, буквы и цифры. Такая длина выбрана не случайно — каждый дополнительный символ многократно увеличивает число возможных комбинаций. Например, у пароля из 15 строчных букв — 1,7 квинтильона вариантов. Добавление одного символа увеличивает количество комбинаций почти в 26 раз, а при использовании всех допустимых символов (буквы, цифры и спецзнаки) общее число вариантов достигает 2,25 октильонов. Даже мощные установки на GPU не в состоянии справиться с такой задачей в обозримом будущем.

Тепловая карта. Длина пароля vs. сложность пароля (Specops)

Тем не менее, несмотря на такие перспективы, пользователи продолжают выбирать короткие и простые комбинации. Наиболее распространённый тип пароля — это 8 символов с двумя типами символов (например, буквы и цифры), на него приходится 7,9% всех паролей. За ним следуют такие же по длине, но ещё менее надёжные — только из одного типа символов, их 7,6%. А пароли длиной до 8 символов в целом составляют подавляющее большинство и могут быть взломаны за считанные часы.

Анализ показал, что лишь 3,3% всех паролей превышали отметку в 15 символов. Это говорит о том, что политика создания паролей в организациях либо не регулируется, либо игнорируется. Между тем, увеличение длины даже на несколько символов резко увеличивает стойкость к атаке — четырёхсимвольное расширение 12-значного пароля увеличивает трудозатраты на перебор в 78 миллионов раз.

Особое внимание в исследовании уделено тенденции к недостаточной сложности. Более половины всех проанализированных паролей включали максимум два типа символов. И хотя современные рекомендации (в частности, от NIST) фокусируются больше на длине, добавление третьего или четвёртого типа символов также существенно увеличивает стойкость. Однако длина по-прежнему остаётся главным фактором: 16–20 символов дают лучшую защиту, чем короткие, пусть и сложные пароли.

Для повышения надёжности рекомендуется переходить от традиционных паролей к осмысленным фразам. Длинные, но легко запоминающиеся словосочетания вроде «SunsetCoffeeMaroonReview» куда надёжнее и удобнее, чем наборы символов вроде «!x9#A7b!». Такой подход снижает количество ошибок при вводе, обращений в техподдержку и усталость от постоянных смен паролей.

Главные угрозы, связанные с использованием слабых паролей, остаются прежними.

• простота взлома: короткие комбинации без труда поддаются автоматическим атакам, особенно при использовании графических ускорителей и ботнетов.
• повторное использование: один скомпрометированный пароль часто открывает доступ ко множеству систем.
• несоблюдение нормативов: слабые пароли нарушают требования таких регламентов, как GDPR, HIPAA и PCI DSS. Всё это влечёт за собой штрафы, проверки и репутационные потери.

При этом даже хорошая реализация хеширования не спасает от слабости самого пароля: если база украдена, а пароль легко перебирается — ни соль, ни алгоритмы не помогут.

Выводы исследования подводят к простой истине: слабые пароли всё ещё повсеместны. Только комплексная политика, включающая контроль длины, сложности, уникальности и своевременное обновление, способна защитить корпоративную инфраструктуру от базовых атак. И, как показывает статистика, в этой области у большинства компаний ещё очень много работы.