5 мая — День пароля, повод задуматься, сколько цифровых ключей мы разбросали по Сети и насколько надёжно они заперты. Средний россиянин имеет более 30 аккаунтов на разных платформах: соцсети, мессенджеры, банки, онлайн-магазины, рабочие порталы.
Где проходит грань между удобством и дырой в безопасности, объясняет преподаватель Школы кибербезопасности Института компьютерных технологий и информационной безопасности ЮФУ, лаборант СКБ «КИТ» Руслан Рузин.
62% пользователей используют лишь 1–4 уникальных пароля для всех своих учётных записей, а значит, один скомпрометированный пароль может открыть злоумышленникам доступ к десяткам сервисов. Другая крайность — когда люди пытаются соблюдать правило «уникальный длинный пароль для каждого сервиса» без специального софта.
«Это утопия, так как очень сложно будет запомнить все пароли и есть шанс забыть какой-то из них или его часть. Лучше использовать менеджеры паролей», — рассказывает Руслан Рузин.
Появилось даже такое понятие, как «парольная усталость» — психологическое выгорание от необходимости помнить десятки комбинаций.72% представителей поколения Z испытывают стресс от управления паролями, а 59% переиспользуют старые пароли и даже после утечек данных меняют в них всего один символ.
«Встроенные менеджеры паролей в Google Chrome или Safari для бытового уровня относительно безопасны, но при одном условии — что вы используете мастер-пароль на браузер. Злоумышленник легко сможет получить эти данные с помощью вируса-стилера или если получит физический доступ к вашему разблокированному устройству. Но свои риски есть везде, даже записная книжка, доступная любому члену семьи или гостю в доме, может потеряться. Надёжнее всего облачный менеджер, который даёт 2FA и шифрование», — поясняет Руслан Рузин.
Анализ утечек данных за 2025–2026 годы показывает, что каждый третий взрослый пользователь в России использует пароль, который хакер взламывает менее чем за секунду. В топе самых популярных паролей — «123456», «password», «qwerty», «admin». Это не столько незнание правил безопасности, сколько нежелание их соблюдать и уверенность, что именно тебя взлом не коснётся.
«Особенно опасной привычкой стало хранить пароли в заметках телефона или отправлять коды доступа самим себе в «Избранное» в мессенджере. С технической точки зрения это катастрофа. Заметки телефона синхронизируются через облако (iCloud или Google) в незашифрованном виде, а «Избранное» — это текстовый лог на серверах мессенджера, который сливается при любой компрометации сессии», — объясняет Руслан Рузин.
В 2025 году в Сеть попала база из 16 миллиардов украденных паролей — она образовалась в результате компиляции данных из 30 крупных утечек. А поскольку пароли у людей повторяются, тактика атак credential stuffing(подстановка учётных данных из уже скомпрометированных связок)превращается в процветающий криминальный бизнес.
«Отдельного внимания заслуживает пароль от главного ящика электронной почты — ключа для восстановления доступа ко всем остальным сервисам. Хранить его в менеджере паролей нельзя. Храните мастер-пароль от почты в голове + используйте аппаратный ключ (YubiKey) или TOTP (Google Authenticator). Никогда не храните этот пароль в менеджере паролей, которым сами же управляете, и включите физическую 2FA на почтовом ящике», — советует Руслан Рузин.
По-настоящему стойкой к взлому в 2026 году считается комбинация длиной более 16 символов с разнообразием символов и без предсказуемых шаблонов. А вот принудительная смена паролей каждые три месяца, которую требуют многие корпоративные политики, — уже устаревшая практика, так как она приводит лишь к минимальным вариациям одного и того же пароля, реально же менять его следует только при подтверждённой утечке.
«Самая вредная привычка, которую стоит искоренить прямо сегодня, — это сохранение паролей в браузерах на общих или чужих компьютерах. Искорените привычку нажимать "Сохранить пароль" во всех браузерах на общих/чужих ПК. Одна забытая галочка на компьютере коллеги или в коворкинге – и злоумышленник через отладчик браузера (F12) увидит ваш пароль открытым текстом», — предупреждает Руслан Рузин.