Значительная доля российских интернет-пользователей применяет пароли, уязвимые для автоматизированного подбора, несмотря на растущую частоту кибератак. Современные технологии способны взламывать до 70% таких паролей менее чем за полчаса, что делает даже кажущиеся сложными комбинации небезопасными. Константин Ларин, глава департамента киберразведки компании «Бастион», отметил, что 45% украденных паролей соответствовали формальным требованиям сложности, но на практике оказались уязвимы. Около 10% сотрудников компаний продолжают использовать простые пароли, что создает серьезные риски для корпоративных данных.
Компрометация паролей лежит в основе до трети критических киберинцидентов в российских организациях. Злоумышленники часто нацелены на учетные записи привилегированных пользователей и системных администраторов, что дает им значительный контроль над бизнес-инфраструктурой. По оценкам Дмитрия Хомутова, директора Ideco, совокупный ущерб от таких инцидентов исчисляется миллиардами рублей.
Часто пользователи формально соблюдают правила безопасности, добавляя символы и цифры, но при этом используют предсказуемые шаблоны. Пароли вроде «Zima2026!!» с популярными словами и типовыми заменами символов давно известны злоумышленникам. По словам Сергея Золотухина, консультанта по кибербезопасности F6, для защиты от подбора пароль должен содержать не менее 12 символов, включая разные регистры, цифры и спецсимволы.
Утечки баз данных представляют особую опасность, поскольку даже хешированные пароли могут быть восстановлены, если они недостаточно надежны. Переиспользование паролей позволяет преступникам получить доступ к нескольким сервисам одновременно.
Двухфакторная аутентификация (2FA) является важным фактором защиты, ее отсутствие увеличивает риск компрометации аккаунта в разы, особенно если пароль уже фигурировал в утечках. Ларин рекомендует избегать предсказуемых комбинаций, персональных данных, отказаться от повторного использования паролей и применять менеджеры паролей. Хранение паролей в браузерах считается рискованным из-за возможности их извлечения вредоносным ПО.
Хотя современные системы защиты, такие как антиботы и ограничение попыток ввода, могут предотвратить подбор паролей, владельцы сервисов часто игнорируют эти настройки. Беспарольные методы аутентификации, биометрия и аппаратные токены набирают популярность, но уязвимость к утечкам существующих паролей остается серьезной проблемой. Золотухин подчеркнул, что эта ситуация представляет собой «бомбу замедленного действия», требующую широкого внедрения систем киберразведки и обучения специалистов работе с данными для защиты организаций и данных клиентов.
Читайте также: Роль нейросетей в HP и как они постепенно вытесняют людей с рабочих мест.
