ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомленности о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешением владельцев систем и в рамках действующего законодательства.
Пароль изначально создавался для защиты доступа. На деле он часто становится способом узнать информацию о человеке, который его придумал.
Как узнать что пароль содержит личную информацию и почему это опасно
Маша завела кота. Назвала Мурзиком. Год спустя зарегистрировалась в интернет-магазине, пароль Murzik2026. Через два месяца база магазина утекла. Теперь в открытом доступе лежит её почта, пароль и косвенно имя питомца.
Ещё у неё аккаунт в фитнес-приложении. Там пароль Murzik2025. И профиль в соцсети Murzik2019. Все три базы уже в публичном доступе. Злоумышленник соединяет данные. Знает, что она из Москвы, любит фитнес, кота зовут Мурзик. Пробует Murzik1990 для банка. Год рождения подобрал по фото в профиле. Не угадал. Но секретный вопрос в том же банке это "имя первого питомца".
Люди редко придумывают случайные пароли. Они выбирают слова, которые имеют для них значение. Кличка питомца, город детства, важная дата.
В локальных базах утечек преобладают пароли на латинице. Не потому что все владеют английским. Просто на кириллице пароли неудобно набирать. Постоянное переключение раскладки отвлекает, особенно на телефонах. Поэтому русские слова пишут транслитом. "Мурзик" становится "Murzik", "Васька" превращается в "Vaska". Год рождения добавляют как "1990", "90" или "90g". Номера телефонов обычно последние четыре цифры. Названия городов превращаются в "Moskva", "Piter" или сокращения "Msk", "Spb".
Среди самых частых фрагментов остаются "qwerty", "123456", "dragon", "master". Это не английские слова для большинства. "Qwerty" это паттерн верхнего ряда клавиатуры. "Dragon" и "master" это короткие комбинации, легкие для набора. Многие не знают их значение. При этом большинство паролей используются повторно на нескольких аккаунтах. Злоумышленники идут дальше и используют искусственный интеллект для генерации паролей на основе открытых источников. Профили в соцсетях, посты, комментарии. Модели ИИ обучаются на миллиардах утёкших паролей и создают новые, похожие на реальные. Но особенно эффективен подход, когда ИИ анализирует именно ваш профиль. Он собирает детали и генерирует персонализированные варианты. Если в постах упоминается собака по кличке "Мурзик" и год рождения 1990, ИИ выдаст "Murzik1990", "1990Murzik", "Murzik90g" и сотни похожих комбинаций. Такие методы ускоряют подбор в десятки раз.
Если пароль содержит личную информацию, его проще подобрать. Он становится особенно полезным для злоумышленника. Он не только даёт доступ к аккаунту, но и помогает собрать данные для более точных атак.
Что такое инфостилеры и как они крадут пароли
Твой друг скачал мод к игре. Запустил. Через тридцать секунд все пароли из Chrome улетели на сервер в Телеграме. Он ничего не заметил. Антивирус молчал.
Инфостилер представляет собой вредоносную программу небольшого размера. Она попадает на устройство через пиратский софт, кряк, фейковое расширение браузера. Выгружает пароли из хранилищ. Собирает cookie и токены сессий. Упаковывает в архив и отправляет. LummaC2, Stealc, ACRStealer, PXA Stealer среди лидеров. Распространяются через Telegram-боты, поддельную рекламу, фальшивые обновления. Крадут не только пароли, но и seed для TOTP. Это секретные ключи для генерации одноразовых кодов. Также забирают криптокошельки и session cookies.
Инфостилеры меняют логику защиты. Длинный пароль из двадцати символов со спецзнаками не лучше "123456", если оба лежат в хранилище браузера. Программа не подбирает. Она копирует готовыми.
Дальше данные попадают в даркнет. Объединяются в сборники. Часто выкладываются бесплатно для репутации. В Telegram-каналах архивы появляются почти каждый день. Один файл содержит десятки тысяч пар. Затем начинается credential stuffing. Автоматическая подстановка украденных пар на других сайтах. Скрипты пробуют пары на сотнях сервисов. Если пароль повторялся на форуме и в почте, доступ к почте получают сразу. Через почту сбрасывают пароли от всего остального. Больше половины паролей из свежих утечек уже были в старых базах. Общий объём утёкших данных превысил десятки миллиардов.
Если пароли хранятся в хешах, злоумышленники не расшифровывают напрямую. Хеш это односторонняя функция. Из него невозможно вернуть исходный пароль. Вместо этого применяют brute-force. Полный перебор. Или dictionary attacks. Это перебор слов из словарей. Или rainbow tables. Это заранее вычисленные таблицы паролей и хешей. Искусственный интеллект ускоряет перебор на видеокартах. Соль это случайный фрагмент к паролю перед хешированием. Она делает rainbow tables бесполезными. Современные системы всегда используют соль. Кроме паролей программа забирает cookie. Это метки активной сессии, которые браузер сохраняет после входа. С ними заходят в аккаунт без пароля и без двухфакторной аутентификации. Сессия остаётся активной, даже если пароль сменили.
Как проверить утёк ли пароль в базе данных безопасно
Chrome. Откройте passwords.google.com или настройки. "Конфиденциальность и безопасность", затем "Проверка паролей". Красная метка показывает, что пароль в утечке.
Яндекс.Браузер. Настройки, "Пароли и карты", "Безопасность паролей".
Firefox. Сервис monitor.mozilla.org. Раньше Firefox Monitor, сейчас Mozilla Monitor. Покажет утечки по email.
Opera. Наверное тоже как то делается...
Все работают по защищённым каналам. Пароль в открытом виде не уходит. Проверяются только сохранённые в этом браузере пароли.
Как работает Have I Been Pwned и безопасно ли туда вводить пароль
HIBP это haveibeenpwned.com. Самая большая публичная база утечек. Ведёт Трой Хант. Данные о миллиардах аккаунтов. Вводите email, видите утечки.
Для паролей безопасный метод. Браузер хеширует локально, отправляет только первые пять символов хеша. Сервер возвращает хеши с таким началом. Сравнение полного хеша происходит на устройстве. Сервер не видит пароль целиком. Это k-anonymity. Подписка на уведомления бесплатная.
Почему нельзя проверять пароль на подозрительных сайтах и в Telegram ботах
Сайты, просящие пароль в открытом виде "для проверки", вызывают сомнения. С Telegram-ботами хуже. Нет гарантии, что запросы не сохраняются. Вы отправляете email или телефон, на другом конце собирают базу для фишинга. Только встроенные инструменты браузеров и HIBP. Остальное увеличивает риск.
Что делать если пароль утёк в каком порядке менять пароли
Первый порыв поменять всё сразу или ничего не делать. Вы же используете второй фактор авторизации. И вообще пароль – уже не назвать рубежом защиты. Лучше расставить приоритеты. Почта с привязанными аккаунтами первая. За ней Госуслуги, банки, сервисы с платёжными данными. Потом соцсети и мессенджеры. Остальное подождёт.
Перед сменой проверьте устройство. Если утечка от инфостилера, новые пароли утекут тем же путём. Проверка антивирусом с актуальными базами обязательна. Используете пиратский софт, подумайте, оттуда ли заражение.
После очистки меняйте пароли, начиная с важных. Каждый аккаунт требует уникальной комбинации, не вариации старого. Генератор в менеджере паролей создаст за секунду. Закройте активные сессии в настройках сервисов. Это обнулит украденные cookie и токены.
Все таки, включите двухфакторную аутентификацию через приложение-аутентификатор, не SMS. SMS уязвимы к перевыпуску SIM-карты. Google Authenticator, Aegis, Яндекс.Ключ генерируют коды на устройстве без передачи по сети. Аппаратный ключ вроде YubiKey надёжнее. Но приложение это минимальный разумный уровень.
Лучший менеджер паролей сравнение Bitwarden и KeePass
А знаете сколько уйдет посимвольно подобрать ваш пароль, состоящий из восьми символов? А сколько уйдет времени используя базы скомпрометированных паролей?
Яйца в одной корзине – это кнопка "запомнить" в браузере удобно, но опасно. Шифрование привязано к учётной записи операционной системы. Любая программа от вашего имени получает доступ к ключам расшифровки. Инфостилеры используют именно это. Менеджер паролей работает иначе. Хранилище зашифровано мастер-паролем, не сохраняется на устройстве в открытом виде. Bitwarden использует AES-256-GCM для end-to-end шифрования. Плюс PBKDF2 или Argon2id для вывода ключа из мастер-пароля. Даже при компрометации серверов без мастер-пароля данные представляют собой случайные байты. Аудиты кода подтверждают отсутствие бэкдоров.
Хоть я им и не пользуюсь, но Bitwarden это оптимальный выбор. Открытый код, бесплатная версия покрывает синхронизацию, генератор, автозаполнение, проверку утечек. Аудиты регулярные и публичные. Оплата без ограничений по картам.
KeePass это локальный вариант для полного контроля. База в зашифрованном файле на устройстве. AES-256 плюс Twofish или ChaCha20. Нет облаков и подписок. Требует настройки, но даёт независимость. Главное не забудьте, при неактивности, попытки сделать скриншот экрана и любой другой странной ситуации менеджер паролей должен автоматически блокироваться до ввода мастер пароля.
Как работает Passkey и чем отличается от пароля
Passkey решают проблему утечек на уровне архитектуры. Устройство генерирует пару ключей по стандарту WebAuthn/FIDO2. Приватный ключ хранится в защищённом модуле вроде TPM или Secure Enclave. Публичный уходит на сервер. При входе сервер отправляет случайный challenge. Устройство подписывает приватным ключом. Сервер проверяет подпись. Пароль не создаётся, не передаётся и не хранится. Большинство современных устройств поддерживают passkey. У крупных сервисов значительная доля аккаунтов имеет хотя бы один passkey. Успешность входа выше, чем у традиционных методов. На практике нажимаете "войти", прикладываете палец или смотрите в камеру. Вход мгновенный. Поддержка есть в Google, Apple, Microsoft и других сервисах. Каждый аккаунт с passkey делает утечку серверной базы не вашей проблемой. Приватный ключ на сервере не хранится.
Чек-лист защиты аккаунтов от взлома
[√] Открыть проверку паролей в браузере
[√] Проверить email на haveibeenpwned.com
[√] Подписаться на уведомления о новых утечках
[ ] Проверить устройство антивирусом с актуальными базами
[ ] Сменить скомпрометированные пароли, начиная с почты и Госуслуг
[ ] Закрыть активные сессии в критичных аккаунтах
[ ] Включить двухфакторку через приложение-аутентификатор
[ ] Установить менеджер паролей и перенести туда все учётные записи
[ ] Удалить сохранённые пароли из браузера после переноса
[ ] Подключить passkey на сервисах, где он доступен
[x] Использовать один пароль на несколько сервисов
[x] Хранить пароли в заметках на телефоне
[x] Вводить пароли на незнакомых сайтах "для проверки"
Первые три пункта делаются за 10–15 минут прямо сейчас. Остальное займёт один-два вечера. После настройки менеджера и аутентификатора защита работает автоматически. Проверка утечек становится привычкой, а не разовой акцией. Привычка защищает лучше, чем самые сложные пароли.
#кибербезопасность #информационнаябезопасность #безопасность #защитаданных #лайфхаки