Анализ более 19 миллиардов паролей, попавших в Сеть в результате утечек данных за последний год (с апреля 2024 по апрель 2025 года), показал крайне низкий уровень их надёжности. Подавляющее большинство комбинаций оказались слабыми, а уникальными были вовсе только 6%. Исследователи назвали это явление «эпидемией повторного использования ненадёжных паролей».
Многие люди используют очень простые комбинации. Например, последовательность «1234» встретилась в 727 миллионах изученных записей, «password» – в 56 миллионах, а «admin» – в 53 миллионах. Злоумышленники активно используют именно такие распространённые варианты при подборе паролей для взлома учётных записей.
Чаще всего (в 42% случаев) пользователи выбирают пароли длиной 8-10 символов, причём почти треть из них (27%) состоят только из цифр и строчных букв. Требование минимальной длины в восемь символов во многих системах, вероятно, единственное, что удерживает людей от создания ещё более коротких комбинаций. Также популярно использование в паролях распространённых имён, названий городов, стран, еды, животных и даже нецензурных слов.
Исследователи отмечают, что, несмотря на многолетние призывы к повышению безопасности, ситуация с паролями остаётся серьёзной проблемой. Основная причина – сложность запоминания множества уникальных и надёжных комбинаций для всех аккаунтов. Создать такой пароль не трудно (в Сети полно генераторов паролей любой сложности), но, как оказалось, записать заветную комбинацию для многих пользователей является действительно трудной задачей. И это при том, что существуют менеджеры паролей и двухфакторная аутентификация. Опять же, использование последних требует уже дополнительных действий со стороны пользователя, что для многих тоже становится настоящей преградой.
А теперь о цифрах. Исследование проводилось компанией Cybernews. Специалисты проанализировали базу данных объёмом 213 ГБ, включающую 19 030 305 929 паролей из примерно 200 утечек, произошедших с апреля 2024 года. Все данные были предварительно отфильтрованы и анонимизированы для исключения получения любой персональной информации.