По данным компании, 55% пользователей используют комбинации, которые могут быть сравнительно быстро подобраны. При этом 45% скомпрометированных паролей формально соответствовали установленным требованиям по сложности, однако на практике это не обеспечило их устойчивость к атакам. Около 10% сотрудников организаций по-прежнему применяют базовые и легко угадываемые комбинации, что создает дополнительные риски для корпоративных систем.
Эксперты отмечают, что современные графические ускорители позволяют подобрать до 70% доменных паролей в течение 30 минут. По словам эксперта, все потому, что используются предсказуемые шаблоны: пользователи добавляют цифры и специальные символы, но сохраняют в основе общеупотребимые слова, даты или клавиатурные последовательности вроде QWERTY.
«Даже если пароль выглядит сложным с точки зрения политики безопасности, он может оставаться словарным — например, в виде комбинаций вроде “Zima2026!!”. Такие варианты с популярными словами, датами и типовыми заменами символов давно входят в списки мошенников и успешно используются при переборе и восстановлении учетных записей», — отметил Ларин.
Особую угрозу представляют утечки баз данных. При недостаточной устойчивости паролей их возможно восстановить даже из хэшированного вида. Переиспользование одних и тех же комбинаций между сервисами позволяет атакующим получить доступ сразу к нескольким учетным записям: от электронной почты до интернет-банкинга и облачных платформ.
Ситуацию усугубляет отказ части пользователей от двухфакторной аутентификации. При отсутствии второго фактора защита аккаунта фактически сводится к качеству пароля, что повышает вероятность успешного взлома, особенно если данные ранее фигурировали в утечках.
Для повышения уровня защиты эксперт рекомендует использовать пароли длиной не менее 16 символов, избегать предсказуемых сочетаний и персональных данных, а также полностью отказаться от переиспользования комбинаций между сервисами. Оптимальным решением он называет применение кроссплатформенных менеджеров паролей от проверенных вендоров, которые автоматически генерируют и хранят надежные комбинации.
Также Ларин предупредил, что хранение паролей в браузерах может быть опасным, так как вредоносное ПО класса стилеров способно извлекать данные из встроенных хранилищ при заражении устройства.