По оценкам экспертов, в мире самыми популярными и ненадежными паролями в 2023 году стали «123456», «123456789» и «1000000». В топ-10 вошли также сочетания «123123qwe», qwerty и «Qwerty123». В Российской Федерации рейтинг также пополнился сочетанием «12345zz».

 Такие выводы содержатся в исследовании сервиса разведки утечек данных и мониторинга даркнета DLBI. Специалисты проанализировали 200 млн учетных записей, попавших в открытый доступ из-за сливов информации в прошлом году. Из них лишь 44 млн оказались уникальными.

 Самыми распространенными кириллическими комбинациями символов в 2023 году оказались «йцукен», «подружка», «пароль», «12345Е», «ЙЦУКЕН123». В топ-10 также вошли «привет», «123йцу», «йцукен12345», «йцукенгшщз».

 Вышеизложенное создает реальную угрозу взлома с помощью повторного их использования. Проблема в том, что пользователи зачастую не разделяют ресурсы на «важные» и «не очень». Люди, как правило, используют два-три стандартных пароля для всех своих сервисов. После взлома одного доступ открывается сразу к нескольким. Таким образом, под угрозой могут оказаться даже корпоративные аккаунты. 

 Быстрое развитие технологий, в том числе квантовых, позволяет за минуту взламывать пароли меньше 10 символов, состоящие только из строчных букв, а сочетания из цифр - еще быстрее. Сложные комбинации символов более устойчивы, если произошла утечка сведений с ресурса, - их труднее и дольше дешифровать.

 Крупные компании, которые работают с чувствительными данными пользователей, обычно предъявляют высокие требования к паролям. В частности, в пароле необходимо использовать хотя бы одну заглавную букву, одну строчную, одну цифру и один спецсимвол. Сочетание требуется регулярно менять. Причем важно, чтобы новый пароль не повторял предшествующие.

 Кроме того, крупнейшие финансовые организации применяют двухфакторную аутентификацию, в том числе и с помощью кода из СМС.

 Применение простых паролей на «неважных» сервисах чревато тем, что злоумышленники могут собрать множество информации о пользователе с разных «неважных» сервисов (адрес почты с одного сервиса, дату рождения с другого, адрес регистрации с третьего) и объединить в единую базу. И уже эта совокупность информации может быть использована в противоправной деятельности.

 В последнее время мошенники стали персонифицировать подход к каждой жертве. Злоумышленники стали предварительно изучать людей: их профиль в соцсетях, круг друзей, место работы, материальное положение. Они также оценивают, на какую сумму человеку могут выдать кредит.

 Сбор и накопление данных о гражданах - тренд последних месяцев. Злоумышленники перестали монетизировать украденные сведения в моменте. Усиление киберразведки заметно, но при этом пока неизвестно, по каким сценариям эта информация будет применяться против граждан.

 Зафиксированы первые случаи, когда мошенники применяли записи голоса, чтобы подменить биометрию клиентов, сгенерировав разговор от их лица. Также преступники используют дипфейки. С помощью искусственного интеллекта они создают образ человека по открытым фото и видео в Сети, затем «подтверждают личность» на видеоконсультации с банком и получают доступ к средствам клиента.

 Рекомендации группы по защите информации: в государственном предприятии «Белаэронавигация» в рамках внедренных локальных правовых актов четко определены требования к парольной защите. Их главная суть заключается в следующем: минимальная длина пароля не менее 8 символов; он не может содержать имя учетной записи пользователя или какую-либо его часть; в пароле должны присутствовать символы трех категорий из числа следующих четырех:

 а)                 прописные буквы английского алфавита от А до Z;

 б)                 строчные буквы английского алфавита от а до z;

 в)                 цифры (от 0 до 9);

 г)                 неалфавитные символы (!,$,#, %).

 Смена паролей должна осуществляться с периодичностью 1 раз в два месяца. При смене пароля новое значение должно отличаться от предыдущего не менее чем на 4 символа.

 19.02.2024