В ходе ежегодного исследования сервиса разведки утечек данных и мониторинга Даркнета DLBI было проанализировано 36,4 млрд пар логинов и паролей, включая 900 млн новых, попавших в открытый доступ в результате сливов в 2022-м. Для сбора и анализа информации по учетным записям использованы крупные утечки, различные сообщества, занимающиеся восстановлением утекших сведений, теневые форумы и Telegram-каналы, где в открытый доступ выкладываются утечки данных пользователей.
Самыми популярными паролями за прошлый год оказались «a123456», «123456» и «123456789», показало исследование. Пятерку замыкают: «12345» и «33112211». Эти комбинации не первый год входят в число наиболее распространенных. Однако топ-2022 отличается от предыдущих и свидетельствует о постоянно происходящих упрощениях кодов, придумываемых и запоминаемых людьми, говорится в материалах DLBI.
Анализ 1,5 млрд учетных записей ресурсов в РФ (находящихся в доменных зонах .RU и .РФ) за прошлый год выявил, что пользователи часто применяли пароли: «33112211», «123456» (занимавший третье место в 2021-м) и «1q2w3e4r». На четвертой и пятой позициях расположились комбинации — «123456789» и «qwerty» — занимавшие годом ранее лишь шестое и девятое место соответственно.
При этом отмечается, что топ самых популярных кириллических паролей по всем доменным зонам остался без изменений. В него вошли: «йцукен», «пароль», «любовь», «привет», «наташа», «максим», «марина», «люблю», «андрей» и «кристина».
— Изменение топов используемых комбинаций говорит о том, что, несмотря на атаки хакеров и усилия производителей программного обеспечения, пароли пользователей в массе своей остаются опасно простыми. Почти миллиард паролей содержит только цифры, а мировой топ возглавляют вариации «12345», — подчеркнул основатель сервиса DLBI Ашот Оганесян.
Простые данные для аутентификации чреваты необратимыми последствиями, говорит аналитик исследовательской группы Positive Technologies Яна Юракова. Например, если речь идет о взломе злоумышленниками учетной записи физлица, то не исключены выводы с его счета денег, распространение недостоверной порочащей его информации.
А если в руки мошенников попадет информация компании, то фирма может столкнуться с кражей третьими лицами конфиденциальных данных, распространением ими программы-шифровальщика в инфраструктуре, выводом крупной суммы средств, добавила эксперт.
— В 2022-м по результатам пентестов (тестирование на проникновение, комплекс мер, которые имитируют реальную атаку на сеть или приложение. — «Известия») мы выявили, что среди основных точек входа во внутреннюю сеть компании недостатки парольной политики занимают третье место. В 36% организаций можно было получить первоначальный доступ, воспользовавшись слабым паролем. А в комбинациях 91% компаний выявлены критически и высокой степени опасности уязвимости. Чаще всего встречались вариации: admin, P@ssword, «123456», — рассказала Яна Юракова.
Большинство граждан любят использовать легкие пароли, поскольку так устроена психология людей — упрощать и оперировать понятными паттернами, отметил IT-эксперт Даниил Шеповалов. Например, если человека попросить назвать любое число по выбору, то скорее он назовет 7. Эксперты добавили: простые комбинации можно менее чем за одну секунду взломать, потому что они есть уже во всех словарях паролей.
Для защиты баз данных клиентов и пользователей применяется огромный комплекс мер, заверили «Известия» представители крупных банков и социальных сетей. Приведенные в исследовании комбинации не используются в работе с клиентами, сказали в Абсолют Банке и «Русском Стандарте». Защита сведений представляет собой отдельную экосистему. Если выделить основные моменты, то используются следующие меры: разграничение доступа к информации, контроль контента и его передвижение внутри банка, а также шифрование самих баз информации, уточнили в Абсолют Банке.
ВТБ предупреждает клиентов, что пароль не должен состоять из одинаковых цифр, идущих подряд (1111, х44х, 77хх) или следующих по возрастанию или убыванию (1234, 9876, 5432), так как это не соответствует критериям безопасности, отметили в организации. В частности, применяется двухфакторная аутентификация и вход по биометрии, рассказали там. МТС Банк использует весь комплекс мер защиты баз данных клиентов от взлома и утечек, согласно требованиям законодательства, заверили в организации.
— Мы регулярно напоминаем базовые правила кибергигиены как нашим сотрудникам, так и клиентам. Например, не записывать пароли на бумажных и электронных носителях информации, не вводить личные данные на подозрительных ресурсах и другие, — рассказали в Росбанке.
Представитель «ВКонтакте» заявил «Известиям», что в рамках глобальной инициативы VK Protect не только внедряются передовые технологические алгоритмы защиты, но и проводятся образовательные инициативы по информационной безопасности.
При создании нового пароля следует использовать не менее 10–12 символов, избегать их повторения в других сервисах, не хранить коды на рабочем столе, в заметках в телефоне, рекомендует Яна Юракова из Positive Technologies. Так, для хранения таких комбинаций человек можете воспользоваться менеджером паролей и запомнить только один код — для входа в этот сервис. Также необходимо включить двухфакторную аутентификацию для доступа к различным сервисам.
Роза Алмакунова