123456 — всё еще король. Исследование 2 миллиардов паролей 2025 года показало, что мы ничему не учимся.

В 2025 году пользователи по-прежнему массово выбирают элементарные комбинации для защиты своих аккаунтов. Исследование Comparitech, основанное на анализе более 2 миллиардов реальных паролей, утёкших на форумы утечек данных в течение года, показало, что самые частые пароли не изменились уже много лет: в лидерах остаются «123456», «admin» и «password».

Аналитики компании составили рейтинг из ста наиболее распространённых паролей. Первую десятку возглавляют привычные числовые последовательности — «123456», «12345678», «123456789», «admin», «1234», «Aa123456», «12345», «password», «123» и «1234567890». Самый популярный вариант «123456» встречался в базе данных более 7,6 миллиона раз, а стоящий на сотом месте «minecraft» — около 70 тысяч раз, не считая 20 тысяч с заглавной буквы.

Около четверти из тысячи наиболее частых паролей состоят исключительно из цифр. Почти 39 % включают последовательность «123», ещё 2 % — обратную комбинацию «321». Строка «abc» обнаружена в 3,1 % случаев. Среди минималистичных паролей выделяются «111111» (18-е место) и даже «********» (35-е). Почти 4 % всех популярных комбинаций содержат слова «pass» или «password», 2,7 % — «admin», 1,6 % — «qwerty», а 1 % — «welcome».

В отчёте отмечено, что среди национально окрашенных примеров выделился пароль «India@123», занявший 53-ю позицию по частоте использования. По мнению исследователей, такие сочетания хоть и выглядят менее шаблонно, но также легко угадываются.

Рассматривая длину паролей, специалисты зафиксировали тревожную тенденцию: 65,8 % комбинаций содержат менее 12 символов, 6,9 % — короче восьми, а только 3,2 % превышают 16 символов. Между тем, девятый по популярности пароль «123» состоит всего из трёх цифр, а пятый — «1234» — из четырёх.

Диаграмма: самые частоиспользуемые пароли по длине (Comparitech)

Авторы исследования подчёркивают, что современные инструменты взлома способны перебрать слабые пароли за считанные секунды. Короткие комбинации легко поддаются перебору, а повторное использование одного и того же пароля на разных сайтах делает учётные записи уязвимыми для атак методом подбора украденных учётных данных.

Безопасным считается пароль длиной не менее двенадцати символов с сочетанием строчных и заглавных букв, цифр и специальных знаков, при этом он должен быть максимально случайным и не содержать узнаваемых шаблонов. Дополнительную защиту обеспечивает двухфакторная аутентификация, которая предотвращает взлом даже при компрометации пароля.

Методика исследования основана на сборе утёкших наборов данных с форумов и Telegram-каналов. Для актуальности материала исследователи сопоставляли данные с публичными отчётами об утечках либо уточняли дату взлома у авторов публикаций. В анализ включались только записи, подтверждённо относящиеся к 2025 году, при этом все личные сведения были обезличены. Рейтинг формировался по количеству повторений каждой уникальной комбинации в очищенной базе.