19 млрд паролей, и только 6% из них имеют смысл: топ комбинаций, которые буквально кричат «Взломай меня!»

Думали, ваш пароль с именем Ana гениален? Что ж, вы не одни...


4ong32ahoixdygdoiqw8uviexrj5gw4f.jpg


За последний год несколько громких инцидентов, включая взломы Snowflake и утечку данных SOCRadar.io, предоставили киберпреступникам доступ к миллиардам учетных записей. Исследовательская команда Cybernews провела масштабный анализ скомпрометированных данных, чтобы выявить основные тенденции в создании паролей в 2025 году.

"Мы столкнулись с масштабной эпидемией повторного использования ненадежных комбинаций символов. Лишь 6% паролей можно назвать уникальными, что делает учетные записи легкой мишенью для словарных атак. Для большинства аккаунтов единственной защитой служит двухфакторная аутентификация – и то лишь в случаях, когда она активирована", – отмечает Неринга Мацияускайте, специалист по информационной безопасности Cybernews.

В поле зрения экспертов оказались данные из примерно 200 инцидентов, включая базы от вредоносных программ и комбинированные списки доступа, попавшие в открытый доступ с апреля 2024 года. Общий объем проанализированной информации составил более 19 миллиардов записей, из которых лишь 1,14 миллиарда оказались неповторяющимися.

При обработке материалов специалисты применили комплексный подход, совместив методы разведки по открытым источникам, киберразведки и технической автоматизации. Команда разработала специальные словари для классификации составных элементов и задействовала скрипты на Python и Bash для оценки длины, состава символов и использования специальных знаков.

Изначальный массив данных занял более 3 терабайт и содержал сведения, позволяющие похищать аккаунты или совершать кражу личности. После тщательной фильтрации и анонимизации объем сократился до 213 гигабайт. Исследователи подчеркивают: злоумышленники получают доступ не только к секретным фразам, но и к связанным email-адресам и персональным данным.

Анализ показал, что 42% владельцев аккаунтов выбирают защитные последовательности длиной 8-10 символов, причем восьмизначные варианты лидируют по популярности. Почти треть (27%) кодов состоит исключительно из строчных букв и цифр. Числовую комбинацию "1234" применяют в 727 миллионах случаев, а её расширенный вариант "123456" встречается в 338 миллионах записей.

"Использование стандартных значений остается одной из самых серьезных проблем. Комбинации 'password' и 'admin' встречаются в 56 и 53 миллионах случаев соответственно, что свидетельствует о массовом применении простейших, предсказуемых вариантов", – поясняет Мацияускайте. Многие пользователи либо не меняют заводские настройки устройств, либо намеренно дублируют подобные значения для других сервисов.

Личные имена заняли второе место по распространенности среди составных частей защитных фраз. Сопоставив базу данных со списком ста наиболее популярных имен 2025 года, аналитики обнаружили 8-процентную вероятность их включения в секретную комбинацию. В рейтинге лидирует имя Ana, фигурирующее почти в 179 миллионах случаев, хотя часть совпадений объясняется его вхождением в другие слова (например, "banana" использовали 3,7 миллиона раз).

При создании кодов доступа люди часто обращаются к позитивным понятиям. Слово "love" фигурирует в 87 миллионах записей, "sun" – в 34 миллионах, "dream" – в 6,1 миллиона, "joy" – в 6,9 миллиона, а "freedom" – в 2 миллионах случаев. Поп-культура также влияет на выбор: Mario встречается в 9,6 миллиона комбинаций, Batman – в 3,9 миллиона, Thor – в 6,2 миллиона, а героиня "Холодного сердца" Elsa – в 2,9 миллиона.

Обсценная лексика тоже широко представлена в защитных последовательностях. Сочетание "ass" обнаружено в 165 миллионах вариантов, что частично объясняется его вхождением в "pass" и "password". Другие ненормативные выражения также активно применяются: "fuck" (16 миллионов), "shit" (6,5 миллиона), "dick" и "bitch" (по 3,2 миллиона).

География и природа регулярно вдохновляют создателей секретных фраз. Рим упоминается в 13 миллионах комбинаций. Среди животных первенство держат лев (9,8 миллиона) и лиса (7,8 миллиона). Лето встречается в 3,8 миллиона кодов, а понедельник стал самым популярным днем недели (0,8 миллиона).

В списке месяцев лидирует май (28 миллионов упоминаний), за ним следует апрель (5,2 миллиона). Гастрономические предпочтения тоже отразились в статистике: "tea" используется в 36 миллионах случаев, "apple" – в 10,7 миллиона, "rice" – в 4,9 миллиона, "orange" – в 3,6 миллиона, а "pizza" – в 3,3 миллиона защитных комбинаций.

Среди коммерческих наименований первенство удерживает Google (25,9 миллиона), следом идут Facebook (18,7 миллиона) и Kia (12,7 миллиона). Профессиональная сфера представлена словами "boss" (10 миллионов), "hunter" (6,6 миллиона) и "cook" (4,2 миллиона). Из американских штатов чаще других фигурируют Каролина (1,9 миллиона), Дакота (1,2 миллиона) и Техас (1,1 миллиона).

За последние годы наметились позитивные изменения в подходе к защите данных. Если в 2022 году только 1% секретных фраз содержал все типы символов (строчные и заглавные буквы, цифры, специальные знаки), то сейчас этот показатель достиг 19%. Однако эксперты предупреждают о серьезной опасности: повторное использование одних и тех же комбинаций создает эффект домино – компрометация одной учетной записи открывает доступ к остальным.

Злоумышленники применяют автоматизированные инструменты для массовой проверки украденных логинов и паролей на различных платформах. Несмотря на кажущуюся неэффективность, успешность таких атак колеблется от 0,2% до 2%, что делает их весьма прибыльными. При проверке миллионов учетных данных хакеры получают доступ к тысячам аккаунтов.

По данным Enzoic, ненадежные пароли стали причиной 30% заражений программами-вымогателями в 2019 году, и эта проблема сохраняет актуальность. Получив доступ к системе, злоумышленники часто не нуждаются в дополнительных технических навыках – они быстро повышают привилегии и разворачивают вредоносное ПО, что приводит к сбоям в работе и финансовым потерям.

Для защиты данных эксперты Cybernews рекомендуют использовать менеджеры паролей, создавать уникальные комбинации длиной от 12 символов со всеми типами знаков и активировать многофакторную аутентификацию. Организациям советуют проводить регулярный аудит безопасности, отслеживать утечки в реальном времени и применять современные алгоритмы хеширования. Особое внимание следует уделить контролю доступа и политикам безопасности, требуя использования сложных паролей длиной не менее 16 символов.