Крупномасштабный анализ глобальных утечек учетных данных за период с 2023 по 2025 годы, проведенный экспертами «Лаборатории Касперского», выявил устойчивую проблему: пользователи продолжают массово использовать слабые и многократно повторяющиеся пароли, не меняя их годами даже после компрометации.
Глобальный анализ утечек паролей 2023–2025: ключевые цифры
Специалисты изучили крупные массивы данных, попавших в открытый доступ в результате взломов, фишинговых кампаний и утечек у различных онлайн-сервисов. Анализ касался как паролей, так и сопутствующей информации об аккаунтах, что позволило выявить устойчивые паттерны в поведении пользователей.
Одним из наиболее показательных результатов стало то, что 54% паролей, скомпрометированных в 2025 году, уже ранее встречались в старых утечках. Это означает, что более половины владельцев затронутых учетных записей не сменили свои пароли после того, как те однажды оказались в руках злоумышленников.
По оценке экспертов, средний «срок жизни» одного и того же пароля составляет около 3,5–4 лет. За это время доступ к аккаунту может переходить от одного киберпреступника к другому, использоваться в автоматизированных атаках и для так называемого credential stuffing — массового перебора уже известных паролей на разных сайтах.
Почему повторное использование паролей опасно
Основная проблема заключается в том, что многие пользователи применяют один и тот же пароль для почты, соцсетей, интернет-магазинов, банковских приложений и корпоративных систем. В результате утечка на одном, даже не самом важном ресурсе, может привести к цепной компрометации сразу нескольких критичных аккаунтов.
Отраслевые отчеты по кибербезопасности, включая ежегодные исследования крупных вендоров и телеком-компаний, стабильно указывают: значительная доля инцидентов начинается с компрометации учетных данных. Когда пароль однажды попадает в базу утечки, он практически навсегда остается в арсенале злоумышленников и используется в автоматизированных атаках по всему миру.
Типичные ошибки пользователей: даты, «12345» и «love»
Отдельный блок исследования был посвящен структуре самих паролей. Анализ показал, что каждый десятый скомпрометированный пароль содержит последовательности чисел, похожие на даты — от «1990» до «2025». Это могут быть годы рождения, значимые даты или просто очевидные числовые комбинации.
Особенно заметно выделяется тенденция использовать текущий или недавний год: примерно каждый двухсотый изученный пароль оканчивался на «2024». Для киберпреступников такие комбинации чрезвычайно предсказуемы и легко перебираются в рамках самых базовых сценариев подбора паролей.
По-прежнему в лидерах по распространенности остается примитивная последовательность «12345». Она входит в число первых комбинаций, которые проверяют автоматизированные инструменты взлома. В числе популярных элементов также встречаются слово «love», имена людей и названия стран. Подобные пароли быстро угадываются с помощью словарных атак, где используются заранее подготовленные списки часто применяемых слов и фраз.
Как повысить безопасность паролей: практические рекомендации
Признаки надежного пароля
Современные рекомендации по кибербезопасности сходятся в одном: длина пароля важнее сложных символов. Эксперты советуют использовать пароли длиной не менее 12–14 символов, а лучше — длинные «фразы-пароли», представляющие собой осмысленное, но уникальное выражение, не встречающееся в книгах, песнях или фильмах.
Ключевые правила безопасности паролей:
- использовать уникальный пароль для каждого сервиса;
- не включать в пароль даты рождения, имена, номера телефонов и другие легко угадываемые данные;
- не использовать последовательности вроде «12345», «qwerty», популярные слова и названия;
- хранить сложные пароли в менеджере паролей, а не в заметках или файлах на рабочем столе.
Двухфакторная аутентификация и Passkey: защита следующего уровня
Даже самый надежный пароль не обеспечивает абсолютной защиты, если он уже был украден. Поэтому все больше сервисов переходят к более устойчивым механизмам проверки личности. Базовым стандартом становится двухфакторная аутентификация (2FA), когда помимо пароля требуется дополнительный фактор: одноразовый код из приложения, SMS, аппаратный токен или биометрия.
Еще более продвинутый подход — использование Passkey (ключей доступа), основанных на открытых стандартах вроде WebAuthn и FIDO2. В этом случае подтверждение входа происходит с помощью криптографических ключей, хранящихся на устройстве пользователя. Такой метод устойчив к фишингу: даже если пользователь перейдет по поддельной ссылке, злоумышленник не сможет «перехватить» пароль, потому что он просто не вводится.
Эксперты советуют:
- включить 2FA во всех критичных сервисах — почта, социальные сети, интернет-банкинг;
- по возможности переходить на вход по Passkey, если платформа это поддерживает;
- регулярно проверять свои адреса электронной почты на предмет попадания в известные утечки и немедленно менять пароли, если компрометация подтверждена.
Масштабные утечки 2023–2025 годов демонстрируют: привычка пользоваться одними и теми же простыми паролями годами больше не совместима с безопасностью в сети. Чтобы снизить риски, достаточно внедрить несколько базовых практик — использовать уникальные длинные пароли, хранить их в менеджере, включать двухфакторную аутентификацию и постепенно переходить на Passkey. Чем раньше пользователи и компании пересмотрят свои подходы к управлению учетными данными, тем сложнее будет киберпреступникам превращать очередные базы утекших паролей в реальные атаки.
