Услышала на днях в МФЦ, как женщина рядом громко диктует по телефону пароль от личного кабинета: «лав, два, ноль, два, четыре, восклицательный». Сидела и думала: ведь это и есть весь современный пароль в одной фразе.
Слово, год, ещё какой-нибудь знак для приличия. И в этой бытовой формуле помещается всё, о чём пишут аналитики, разбирая утечки последних двух лет.
Что нашли в утечках
В декабре 2025 года «Лаборатория Касперского» подвела итоги анализа паролей, утёкших за 2023–2025 годы. Об этом сообщил ТАСС. Главный вывод простой: среди всех слов в паролях чаще всего попадается love. Английское, в четыре буквы, «любовь». Касперский смотрел мировые утечки, и в них сидит российский сегмент.
Не «королева», не «солнышко», не «зайчик». А вот это самое love.
К маю 2026 года Касперский расширил выборку. Ко Всемирному дню пароля компания разобрала 231 миллион паролей, попавших в утечки с 2023 по 2026 годы. Двести тридцать один миллион. Не пользователей – паролей.
Среди позитивных слов в паролях чаще всего встречаются love (любовь), magic (магия), friend (друг), team (команда), angel (ангел), star (звезда) и eden (рай). Love идёт первым в этом ряду, и так уже два отчёта подряд.
Рядом в отчётах есть две говорящие цифры. Каждый двухсотый пароль из утечек 2023–2025 годов заканчивался на «2024». А десять процентов всех слитых паролей содержат число, похожее на дату из диапазона от 1990 до 2025.
Видите формулу? Слово плюс год, иногда ещё восклицательный знак для веса. Ровно как у той женщины в МФЦ.
А что на кириллице
Любопытно вышло с русским сегментом. По данным DLBI, сервиса по разведке утечек, в 2025 году в российской доменной зоне тройку лидеров заняли числовые сочетания «123456», «12345» и «123456777». Первую десятку дополняют имена «Максим» и «Никита». А годом раньше тот же DLBI считал отдельно русские пароли, и там на третьем месте было слово «любовь». Получаем, и латиницей, и русскими буквами одних и тех же лидеров.
DLBI отдельно отмечает: верхушка списка не меняется с 2017 года. Поэтому это не «тренд 2025-го». Это устойчивая привычка, которой уже почти десять лет.
Касперский в майском анализе кириллических паролей добавил деталь, которую почти никто не цитирует, а зря. Россияне любят писать русские слова английской раскладкой: «папа» превращается в gfgf, «мама» переходит в vfvf, а слово «пароль», набранное по-английски, выглядит как gfhjkm. Логика понятна: человек думает, что так его пароль никто не разгадает. На самом деле такие подстановки давно в словарях для перебора. Любой брутфорс начинает с них.
И ещё пара цифр в ту же копилку. По опросу DLBI, треть российских пользователей пользуется всего тремя паролями на все свои сервисы. Восемь и больше уникальных паролей держат в голове только 23%.
Одно и то же слово, одна и та же связка цифр, разнесённая по почте, маркетплейсу, банку и порталу госуслуг. Утечка из одного места открывает дверь в остальные.
Почему именно эти пароли – подарок мошенникам
Тут две вещи, которые объясняют всё разом.
Первая. Программы для подбора паролей, или брутфорс, работают не наугад. Об этом говорил Алексей Северин, преподаватель кафедры «Защита информации» МГТУ имени Баумана. Перебор идёт по словарям популярных паролей. Поэтому программа сначала пробует «123456», потом «qwerty», потом «love», потом «love2024», и дальше по списку. Если ваш пароль в этом списке, счёт идёт на секунды.
Сергей Голованов, главный эксперт «Лаборатории Касперского», в майском интервью ТАСС назвал точные цифры. Любой пароль из пяти-семи знаков подбирается за несколько секунд. Чтобы взломать пароль от 15 символов, понадобятся, по его словам, «тысячи лет».
Разница не в полтора раза. В миллионы.
Вторая. К брутфорсу прилагается фишинг – тот самый звонок «службы безопасности банка» или письмо со ссылкой на поддельный сайт. Северин называет это социальной инженерией. Хотя с короткими паролями злоумышленнику фишинг даже не всегда нужен: программа справляется сама.
Картина получается такая. Сложные технические системы защиты, от двухфакторной аутентификации до шифрования и мониторинга, упираются в одно слово из четырёх букв. То самое, которое мы пишем на открытках.
Что цифры показывают: «love» – самое частое слово в утекших паролях за 2023–2026 годы. В русскоязычном топе на третьем месте – слово «любовь». Числовая часть, зачастую, привязана к недавнему году. Российский сегмент в верхушке списка повторяет мировой шаблон «слово плюс цифры», но добавляет свои детали: имена, последовательность «йцукен», набранные английскими буквами «папу» и «маму».
Чего цифры не показывают: это статистика по утечкам, а не по всем существующим паролям. Те, кого ни разу не взламывали, в выборку не попали, и возможно, у них защита крепче. И всё-таки «love» – лидер именно среди слов, а не среди всех паролей вообще. В общем рейтинге впереди всё равно «123456». А Касперский и DLBI считают по разной методологии, поэтому их цифры стоят рядом, но не складываются в одну.
А вы давно меняли свои пароли? И есть ли среди них хоть один, который вы помните наизусть, но который никто не угадает с трёх попыток?