В «Лаборатории Касперского» изучили глобальные утечки паролей и назвали самые популярные варианты

«Лаборатория Касперского» проанализировала 231 миллион уникальных паролей, утекших в даркнет в результате крупных взломов по всему миру с 2023 по 2026 год, и выяснила, какие комбинации символов пользователи выбирают чаще всего и насколько легко их взломать.

Исследование было приурочено ко Всемирному дню паролей, отмечаемому 7 мая, и опубликовано в блоге компании накануне.

Согласно результатам анализа, 53 процента всех изученных паролей заканчиваются цифрами, 17 процентов – с них начинаются.

Почти 12 процентов содержат числа, похожие на годы (от 1950 до 2030), а три процента включают популярные клавиатурные последовательности вроде «qwerty» или «ytrewq».

Самыми распространёнными числовыми комбинациями ожидаемо оказались «1234», «123456» и им подобные.

Руководитель направления исследования данных «Лаборатории Касперского» Алексей Антонов пояснил, что очевидные сочетания, особенно расположенные в начале или конце пароля, значительно упрощают злоумышленникам атаки методом перебора.

По его словам, даже добавление цифр или символов к одному обычному слову не делает пароль надёжным – он остаётся предсказуемым и очень слабым.

Анализ также выявил любопытные лингвистические закономерности. В паролях значительно чаще встречаются позитивные слова – love, magic, friend, team, angel, star, eden.

Негативные варианты вроде hell, devil, nightmare и scar используются заметно реже.

Кроме того, люди активно включают в пароли актуальные тренды: например, слово «Скибиди» за период исследования стало встречаться в утечках в 36 раз чаще.

Особенно настораживающими оказались показатели устойчивости паролей к взлому. Согласно подсчётам экспертов, 60,2 процента всех изученных комбинаций можно подобрать примерно за час, а 68,2 процента – за сутки.

Более того, даже пароли длиной 15 символов теперь уязвимы: свыше 20 процентов из них поддаются взлому менее чем за минуту благодаря развитию инструментов на базе искусственного интеллекта. В реальных условиях атака может занять ещё меньше времени.

Если говорить о ситуации в России, картина во многом повторяет мировую. Популярны имена в нижнем регистре («влад», «саша»), клавиатурные последовательности («123456», «йцукен»), а также транслит.

Пользователи часто записывают русские слова латиницей – например, «папа» превращается в gfgf, «мама» – в vfvf, «пароль» – в gfhjkm.

Алексей Антонов рекомендует пользоваться генераторами случайных паролей, которые создают действительно стойкие комбинации из букв, цифр и символов.

Если же хочется сохранить в основе реальное слово, эксперты советуют намеренно делать в нём орфографические ошибки – это существенно затруднит подбор.

В качестве дополнительного рубежа защиты специалисты настоятельно рекомендуют включать двухфакторную аутентификацию везде, где это возможно.

Для надёжной защиты пароль должен состоять как минимум из 16 символов и включать заглавные и строчные буквы, цифры и специальные символы.

При этом для каждого аккаунта необходимо использовать уникальную комбинацию – повторное применение одного и того же пароля многократно увеличивает риски при утечке данных.