В идеальном мире идеального человека для аккаунта на каждом сайте и приложении придуман отдельный двадцатизначный пароль, который содержат все возможные типы символов и ни разу не повторяется.
Но в реальности у очень многих людей, которые не имеют многолетней привычки пользоваться менеджерами пароль на компьютере и телефоне, есть универсальный пароль, который они один раз запомнили и на автомате используют при всех новых регистрациях.
Кто-то делает сложные уникальные пароли для основной электронной почты, активных аккаунтов в соцсетях и банковских приложениях, но при этом для всяких пустяков вроде онлайн-игр и интернет-магазинов использует одинаковую последовательность символов, условное "день рождение мамы".
Почему так делать не нужно?
В случае если злоумышленник (которым может оказаться друг, коллега или родственник) каким-то образом завладеет паролем хотя бы от одного вашего аккаунта (найдет в базе утечек, тайком установит кейлоггер, отправит фишинговую ссылку и т.д.), то скорее всего он будет искать аккаунты, в которых используется такой же пароль и пытаться в них войти.
Если пароль простой и популярный, вроде "qwe12345", то найти по нему другие ваши аккаунты будет трудно. Например, в базе утекших данных на LeakPeek.com (более 8 миллиардов аккаунтов) такой пароль встречается 75 тысяч 783 раза.
А вот более длинный и сложный пароль ma1234567ma встречается в базе уже всего 29 раз. И один из людей, который его использует вероятно из России, имеет ящик на mail.ru и аккаунта на Bookmate, Sprachivai.ru, VimeWord и VK, при регистрации на которых он когда-то использовал этот пароль.
Возможно, он не один (а вероятнее не одна), кто придумал такой пароль и у нее есть американский брат по складу ума, который пользуется почтой Yahoo и сервисом знакомств Adult Friend Finder.
Как узнать, какие ваши пароли "засветились" в утечках данных?
Зайти на один из многочисленных сервисов для поиска данных в базе утечек, поочередно набрать в форме поиска все email-адреса, на которые вы обычно регистрируете учётки и посмотреть, пароли от каких аккаунтов были слиты в открытый доступ.
Иногда такие сервисы отображают только пароли и почту, без указания источника данных, а иногда наоборот, отображают название взломанного сайта, но не показывают пароли.
И после этого хорошо бы поменять пароли во всех местах, где использовались такие же пароли, как и на аккаунтах, которые засветились в базах утечек.