Пароль «123456» встречается в утечках более 7,6 миллиона раз и это данные только за последний год. По результатам исследования Cybernews, проанализировавшего свыше 19 миллиардов взломанных паролей за период с апреля 2024 по апрель 2025 года, 94% из них оказались повторно использованными или скопированными с других учётных записей. Пароль остаётся первым а иногда и единственным, рубежом между вашими данными и злоумышленником. Ниже разбираем пять основных способов, которыми этот рубеж преодолевают, и что конкретно можно сделать с каждым из них.
Перебор всех возможных комбинаций
Самый прямолинейный метод: специальная программа последовательно проверяет все возможные сочетания символов, пока не угадает правильное. Звучит долго, но скорость перебора растёт с каждым годом вместе с мощностью видеокарт.
Компания Hive Systems ежегодно публикует таблицу, показывающую, за какое время можно подобрать пароль методом полного перебора на современном оборудовании. Модель 2025 года рассчитана для связки из 12 видеокарт NVIDIA RTX 5090, работающих с алгоритмом хеширования bcrypt.
Результаты: пароль из восьми строчных букв подбирается за три недели. Если в пароле только цифры и он короче десяти символов, за считаные секунды. По сравнению с прошлогодними расчётами время взлома сократилось примерно на 20%.
А если злоумышленник использует не потребительские видеокарты, а оборудование, на котором обучают большие языковые модели? По данным того же Hive Systems, скорость подбора на ИИ-оборудовании превышает потребительскую на 1,8 миллиарда процентов. Пароль, который на обычных видеокартах продержался бы тысячи лет, на кластере с 20 000 ускорителей NVIDIA A100 (по имеющимся данным, именно столько использовали для обучения GPT-4) падает за обозримые сроки.
Исследование «Лаборатории Касперского» подтверждает: 59% пользовательских паролей можно подобрать менее чем за час, а любой пароль короче восьми символов, менее чем за сутки даже простейшим алгоритмом перебора.
Защита: начиная с 13 символов (при использовании букв обоих регистров, цифр и специальных знаков) время перебора уходит в диапазон тысяч и миллионов лет. 18-символьный пароль с полным набором символов, по расчётам Hive Systems, потребует 4 639 триллионов лет, это далеко за пределами обозримого будущего.
Практический минимум на сегодня, это 14–16 символов. Запомнить такое в голове сложно, поэтому используйте менеджер паролей, программу, которая генерирует и хранит уникальные длинные пароли за вас.
Подбор по словарю и личным данным
Полный перебор, метод грубой силы. Но зачем перебирать все возможные комбинации, если большинство людей выбирают пароли предсказуемо? Атака по словарю использует базы популярных паролей, распространённые слова, имена, даты рождения, клички домашних животных и типовые последовательности вроде qwerty, password или admin123.
Программа также учитывает распространённые замены: а на @, о на 0, е на 3. Если вы думаете, что P@ssw0rd это хитро, злоумышленник проверит этот вариант в первые секунды.
По данным Comparitech, пароль 123456 по-прежнему занимает первое место в мировых утечках, 7,6 миллиона повторений только за последний год. Далее следуют 123456789, password, qwerty123 и аналогичные комбинации. Современные инструменты взлома способны перебрать 96% таких типовых паролей менее чем за секунду.
Отдельная разновидность, целевой подбор. Если злоумышленник знает что-то о жертве (а в эпоху социальных сетей узнать имя собаки, год рождения ребёнка или название любимой группы несложно), он начнёт не со словаря, а с этих данных и их комбинаций.
Защита: пароль не должен содержать ничего, связанного с вашей личностью. Лучший пароль, это бессмысленный для человека набор символов, сгенерированный случайным образом.
Если запоминать всё-таки нужно, работает метод парольной фразы: берёте четыре-пять не связанных между собой слов и соединяете их. «Табурет-молния-акварель-четверг» запомнить проще, чем xK9#mLp2!, а подобрать значительно сложнее, потому что длина фразы компенсирует предсказуемость отдельных слов.
Фишинг: когда пароль отдают добровольно
Здесь никакого взлома в техническом смысле нет. Злоумышленник создаёт поддельную страницу, которая копирует оформление настоящего сайта банка, почтового сервиса, социальной сети, государственного портала, и любым способом заставляет жертву ввести на ней свои данные.
Письмо со ссылкой «ваш аккаунт будет заблокирован», сообщение в мессенджере «подтвердите личность», рекламное объявление с заманчивым предложением, таких способов доставки поддельной ссылки десятки.
Фишинг остаётся одним из главных каналов кражи учётных данных: по данным Verizon DBIR 2025, украденные или взломанные учётные данные стали начальной точкой входа в 22% всех расследованных утечек. А для веб-приложений цифра ещё выше: 88% атак на них связаны с использованием украденных учётных записей.
Современный фишинг стал качественнее. Раньше поддельные письма можно было опознать по кривому переводу и несуразной вёрстке. Сейчас злоумышленники используют генеративные языковые модели для составления убедительных текстов на любом языке, а поддельные сайты визуально неотличимы от настоящих.
Разница в адресе страницы: вместо bank.ru может стоять bаnk.ru (с кириллической «а» вместо латинской), или bank-support.ru, или bank.ru.secure-login.com.
Защита: всегда проверяйте адрес сайта в строке браузера, прежде чем вводить пароль. Не переходите по ссылкам из писем и сообщений, лучше открыть сайт вручную, набрав адрес самостоятельно. Не вводите пароли на страницах, открытых из поисковой рекламы (фишинговые сайты регулярно покупают рекламные места).
И включите двухфакторную проверку: даже если пароль утечёт, без второго подтверждения войти в аккаунт не получится.
Утечки баз данных и подстановка учётных данных
Крупные утечки происходят регулярно. В 2025 году компания Synthient собрала 2 миллиарда уникальных пар «электронная почта и пароль», циркулировавших в списках для автоматического подбора. Базы продаются на теневых площадках или появляются в открытом доступе. Утечка RockYou2024 содержала почти 10 миллиардов уникальных паролей в одном файле.
Когда злоумышленник получает такую базу, он запускает атаку подстановкой: программа автоматически проверяет украденные пары «логин и пароль» на десятках и сотнях других сервисов. Расчёт простой: если человек использовал один и тот же пароль для интернет-магазина и для рабочей почты, утечка магазина откроет доступ к корпоративной переписке.
Масштаб проблемы поражает. По данным Verizon DBIR 2025, в среднем у пользователя только 49% паролей на разных сервисах отличаются друг от друга — то есть половина повторяется. Исследование Cybernews показывает ещё хуже: 94% паролей в утечках, повторно использованные. Check Point фиксирует рост объёма взломанных учётных данных на 160% в 2025 году по сравнению с предыдущим годом.
В России картина аналогична. По данным ГК «Солар», в первом квартале 2025 года количество атак методом перебора паролей на российские организации выросло в 2,7 раза по сравнению с четвёртым кварталом 2024 года, до 570 тысяч попыток.
Защита: каждый сервис, свой уникальный пароль. Проверить, не попали ли ваши данные в утечки, можно на сайте haveibeenpwned.com. Все критически важные аккаунты (почта, банк, государственные сервисы) должны быть защищены двухфакторной проверкой подлинности, одноразовым кодом из приложения, аппаратным ключом или подтверждением через биометрию.
Если утечка произошла, меняйте пароль немедленно, и не только на взломанном сервисе, а везде, где использовался тот же самый.
Социальная инженерия: обман вместо технологий
Самый древний и по-прежнему действенный метод. Злоумышленник не взламывает систему, он убеждает человека добровольно сообщить пароль или выполнить действие, которое откроет доступ.
Типичные сценарии: звонок якобы от службы безопасности банка с требованием «подтвердить данные», сообщение о «срочной блокировке» аккаунта с просьбой перейти по ссылке, письмо от «технической поддержки» с предложением установить программу удалённого доступа; сообщение от «коллеги» или «руководителя» в мессенджере с просьбой прислать пароль от внутренней системы.
В корпоративной среде социальная инженерия может принимать форму целенаправленного фишинга (когда письмо составлено специально для конкретного человека с учётом его должности и проектов) или голосового обмана (злоумышленник имитирует голос руководителя, используя технологии синтеза речи).
Главный принцип: ни один настоящий банк, сервис или работодатель никогда не будет спрашивать ваш пароль по телефону, в письме или в мессенджере. Если звонят и торопят, это почти наверняка мошенники. Правильное действие, прервать разговор и самостоятельно перезвонить по официальному номеру организации.
Что делать прямо сейчас
Пять конкретных шагов, которые закрывают большинство описанных выше угроз:
- Установите менеджер паролей и переведите все учётные записи на уникальные, случайно сгенерированные пароли длиной 14–16 символов, запоминать их не нужно, менеджер сделает это за вас.
- Включите двухфакторную проверку подлинности на всех сервисах, которые это поддерживают, лучше через приложение-генератор кодов, а не через SMS (SMS-коды уязвимы для перехвата).
- Проверьте свои адреса электронной почты на haveibeenpwned.com, если они есть в утечках, смените пароли на всех связанных сервисах.
- Никогда не вводите пароль на страницах, открытых по ссылке из письма, сообщения или рекламы, всегда открывайте сайт вручную.
- Относитесь к любому звонку или сообщению с просьбой сообщить пароль, код подтверждения или данные карты как к мошенничеству, кладите трубку и перезванивайте сами.
