В список наиболее распространенных паролей в России на 2023 год попали «123456», «1000000» и «12345zz», а также «йцукен», «подружка» и «пароль», согласно исследованию DLBI. Комбинации остаются простыми из года в год. Несмотря на требования организаций, хранящих конфиденциальные данные, устанавливать сложные пароли и внедрять двухфакторную аутентификацию, злоумышленники всё еще могут получить доступ к менее значимым сайтам за минуты. Эксперты предупреждают, что информацию о людях используют социальные инженеры и применяют для создания дипфейков.
Самые популярные пароли у россиян
В 2023 году самыми распространенными паролями как в мире, так и в России стали «123456», «123456789» и впервые в рейтинге появился «1000000». В то время как первые два пароля занимали лидирующие позиции и в предыдущем году, последний стал новым участником списка. В топ-10 также включены не только вариации последовательных цифр, но и сочетания, такие как «123123qwe», «qwerty» и «Qwerty123», которые ранее не входили в рейтинг. В российском рейтинге появилось также сочетание «12345zz».
Эти выводы представлены в исследовании сервиса DLBI, специализирующегося на разведке данных и мониторинге даркнета. Эксперты проанализировали 200 миллионов учетных записей (состоящих из адресов электронной почты и паролей), ставших общедоступными из-за утечек информации в предыдущем году. Из них лишь 44 миллиона оказались уникальными, что означает, что одна и та же пара логина и пароля присутствует в среднем в пяти различных утечках.
В 2023 году наиболее распространенными кириллическими комбинациями символов стали «йцукен», «подружка», «пароль», «12345Е» и «ЙЦУКЕН123». Интересно отметить, что «подружка» впервые появилась в рейтинге. Также в топ-10 включены «привет», «123йцу», «марина», «йцукен12345» и «йцукенгшщз».
Проблема заключается в том, что пользователи часто не различают ресурсы по уровню важности, отмечает генеральный директор SafeTech Lab, Александр Санин. Люди, как правило, используют два-три стандартных пароля для всех своих сервисов. В случае взлома одного из них злоумышленники могут получить доступ ко всем остальным, подчеркивает эксперт. Таким образом, даже корпоративные аккаунты могут оказаться под угрозой.
Способы безопасности паролей в крупных компаниях
«Почти все методики подбора основаны на так называемых словарях — базах похищенных паролей. Тогда злоумышленнику не нужно перебирать все возможные комбинации символов. Во время атаки применяются словари размером более 100 гигабайт, а также используются графические процессоры, позволяющие ускорить этот процесс», — рассказал начальник управления информационной безопасности Ренессанс Банка Дмитрий Стуров, пишут Известия.
Однако, когда речь идет о крупных компаниях, занимающихся обработкой чувствительных данных пользователей, стандарты для паролей обычно ужесточаются. В частности, представители ВТБ подчеркнули, что пароль должен включать хотя бы одну заглавную букву, одну строчную, одну цифру и один спецсимвол. Регулярное изменение пароля также требуется, как добавили в РНКБ, и важно, чтобы новый пароль не совпадал с предыдущими.
Более того, крупнейшие финансовые учреждения применяют меры двухфакторной аутентификации, включая использование кодов, получаемых по СМС.
Чем грозит утечка нечувствительных данных
Все же, даже в случае доступа хакеров к менее чувствительной информации, не связанной с финансовыми или паспортными данными, существуют негативные последствия, подчеркивает Александр Санин из SafeTech Lab.
Информация о человеке может использоваться для проведения направленных атак. По словам заместителя председателя Центрального банка Германа Зубарева, в последнее время мошенники стали персонализировать свой подход к каждой потенциальной жертве. Злоумышленники предварительно изучают профили людей в социальных сетях, их круг общения, место работы и финансовое положение. Они также оценивают, на какую сумму человек может получить кредит.
Сбор и хранение данных о гражданах стали заметным трендом в последние месяцы, заявил заместитель председателя правления ВТБ Вадим Кулик на Уральском форуме ЦБ по кибербезопасности. По его словам, злоумышленники отказались от мгновенной монетизации украденной информации. Уровень киберразведки значительно возрос, однако пока неясно, каким образом эта информация будет использоваться против граждан.
Кулик также отметил, что наблюдаются первые случаи использования записей голоса мошенниками для подмены биометрических данных клиентов, воссоздавая разговоры от их имени. Преступники также прибегают к использованию дипфейков. Они создают портрет человека на основе открытых фотографий и видео в интернете, а затем «подтверждают личность» через видеоконференции с банком, получая доступ к средствам клиента.
Согласно словам Александра Санина, с использованием искусственного интеллекта на базе фотографий можно создать очень реалистичное видео. При помощи этой техники злоумышленники пытаются обмануть различные сервисы, выдавая себя за легитимных пользователей.