Названы худшие пароли: какие пароли не надо использовать

Сегодня отмечают Всемирный день паролей. Накануне сервис для управления паролями NordPass представил антирейтинг паролей. В исследовании участвовали независимые ИБ-эксперты из 30 стран, которые проанализировали инциденты в области кибербезопасности. Из нашего материала вы узнаете, какие пароли признаны самыми худшими, и каким рекомендациям стоит следовать, чтобы обезопасить себя.

В отчет NordPass попали 200 самых распространенных паролей 2022 года. Эксперты отметили, что в 2023 году пользователи хотя и стали лучше осведомлены о кибербезопасности, но продолжают использовать простые пароли для смартфонов, приложений и Wi-Fi. Так, около 83% паролей из списка можно взломать меньше, чем за секунду. 

Международный топ-10 самых неудачных паролей выглядит следующим образом: 

• password 

• 123 456 

• 123 456 789 

• guest

• qwerty 

• 12 345 678

•  111 111

•  12 345

•  col123456

•  123 123

Согласно исследованию NordPass, на выбор паролей могут повлиять такие факторы, как знаковые события в мире и жизни человека, фильмы и даже популярный сервис знакомств (например, около 36 тыс. раз пользователи использовали пароль «tinder»).

Как отмечают опрошенные редакцией IT Speaker эксперты, чем легче пароль, тем проще киберпреступникам его взломать, а значит, похитить данные пользователей или использовать их оборудование в своих целях. 

Александр Горячев, эксперт компании «Доктор Веб», говорит, что сочетания вроде qwerty, password, 123456 до сих пор популярны, и их использование – своего рода открытая дверь для вора. «Если вы родились 12.03.1985 и зовут вас Иван Иванов, то пароль ни в коем случае не должен быть похож на 12031985ivan, ivanivanov или 12ivan03», — советует Горячев. 

Если пользователь все же решил использовать пароль вроде «password», то стоит придумать хотя бы более сложную комбинацию букв, цифр и символов, например, «p@ssw0rd», рекомендует Антон Морозов, директор по развитию направления информационной безопасности компании «Максофт». 

Эксперты советую следовать нескольким простым рекомендациям, чтобы создать по-настоящему надежный пароль и обезопасить свои данные. Например, стоит избегать использования личной информации и создавать пароли длиной не менее 12 символов. Здесь действует правило, что чем длиннее пароль, тем его сложнее взломать. Генеральный директор компании «Эксперты бизнес-планирования» Николай Журавлев предлагает использовать комбинацию строчных и заглавных букв, цифр и специальных символов. Например, можно выбрать случайное английское слово и написать его наоборот. 

В качестве пароля можно использовать длинную осмысленную фразу. Такая комбинация легко запоминается, а вот подобрать ее трудно, говорит эксперт компании «Доктор Веб» Александр Горячев. Еще несколько рекомендаций — не использовать один и тот же пароль для нескольких учетных записей, избегать автозаполнения в браузере и регулярно обновлять пароли. «Возьмите за правило использовать сложные пароли и менять их раз в 3 месяца, а также везде при возможности использовать двухфакторную аутентификацию», — добавляет эксперт. 

Кроме создания надежных паролей, очень важно хранить их в безопасности. Антон Морозов, директор по развитию направления информационной безопасности компании «Максофт», советует придерживаться простых правил, например, не сохранять пароли в файлах или документах на компьютере. Если пользователь все же решил сохранить пароли вручную, то стоит использовать зашифрованный файл или документ. Также не стоит отправлять пароли по почте или сообщать их другим людям.  

Даниил Вылегжанин, менеджер отдела предпродажной подготовки компании RuSIEM, отмечает, что иногда человеку трудно запоминать большое количество сложных и разнообразных паролей, что приводит к их унификации. Через 2-3 цикла смены паролей большинство из них более чем на 70% совпадают и, подобрав пароль к одной из систем, злоумышленнику становится проще подобрать пароль к остальным. По мнению эксперта, хорошим вариантом может стать менеджер паролей, который позволяет генерировать и хранить сложные пароли, предоставляя пользователю удобный инструмент для аутентификации в десятках различных систем. 

Однако менеджер паролей — не панацея. По словам эксперта компании «Доктор Веб» Александра Горячева, такие сервисы потенциально могут создать новые проблемы кибербезопасности — например, потребуется обеспечить конфиденциальность главного пароля, открывающего доступ к самому менеджеру. Помимо этого, придуманное или сгенерированное кодовое слово нужно менять, чтобы понизить вероятность взлома. «Не так давно злоумышленники распространяли специальное вредоносное обновление для Passwordstate (локального решения для управления паролями в компании), в результате чего пользователи программы оказались под угрозой кражи аккаунтов», — напоминает эксперт.

Также пользователю стоит понимать, что аккаунты в соцсетях и онлайн-сервисах могут быть скомпрометированы в любой момент, поэтому важно своевременно отреагировать. 

Алексей Каньков, старший backend-разработчик в компании Revizto, обращает внимание на несколько признаков, которые могут свидетельствовать о том, что пользователь взломан. Например, приходит письмо от сервиса, которое уведомляет о несанкционированном доступе к учетной записи или внезапном изменении пароля. Стоит насторожиться и в том случае, если в учетной записи произошли неожиданные изменения в настройках или происходит отправка сообщений без ведома пользователя. 

Как отмечает директор по развитию ИБ-направления «Максофта» Антон Морозов, другими признаками компрометации могут стать отсутствие доступа в аккаунт или списание средств за услуги, которые вы не покупали. В этом случае стоит немедленно изменить пароль для всех учетных записей, в которых вы использовали одинаковый пароль. 

Для проверки компрометации пароля можно использовать специальные сервисы, например, «Have I been pwned», как советует генеральный директор компании «Эксперты бизнес-планирования» Николай Журавлев.

Еще один способ обезопасить себя и свои данные приводит генеральный директор Pointlane Павел Мельников. По его словам, можно следить за утечками данных сервисов и приложений при помощи СМИ и Telegram-каналов. «Если недавно в сервисе или приложении, которым вы пользуетесь, произошла утечка данных, то вам стоит поменять пароль», — отмечает эксперт.