Аналитики Comparitech изучили более двух миллиардов паролей, утекших в 2025 году и распространяемых на хакерских форумах, в Telegram-каналах и по другим каналам. Несмотря на многолетние рекомендации специалистов по информационной безопасности, в числе самых часто встречающихся по-прежнему доминируют тривиальные комбинации вроде «123456», «admin» и «password».
Какие пароли встречаются чаще всего в утечках
В лидерах оказались не только классические «admin» и «password», но и простой цифровой диапазон от 1 до 9. Примечательно, что в топ‑100 вошли «косметически усложнённые» варианты, например Aa123456 (6‑я позиция) и Aa@123456 (13‑я позиция). Такие шаблоны создают иллюзию сложности, но легко угадываются словарными и гибридными атаками.
Популярны и клавиатурные последовательности из верхнего ряда, комбинированные с цифрами, например 1q2w3e4r. Набирают частотность короткие общеупотребительные слова: так, «gin» занял 29‑е место, а пароль minecraft встретился 69 464 раза в рассмотренной выборке. По словам исследователей, эти результаты подтверждают устойчивость поведенческих паттернов пользователей и склонность к минимизации усилий при создании паролей.
Откуда берутся эти данные и чем они опасны
Собранные наборы паролей циркулируют в открытых и закрытых источниках — от даркнет‑маркетплейсов и форумов до Telegram. Такие базы немедленно попадают в оборот для credential stuffing (массовой проверки украденных логинов и паролей на других сервисах), что резко повышает риск компрометации аккаунтов при повторном использовании паролей. Отчёты отрасли, включая Verizon DBIR, год от года подтверждают, что использование украденных учётных данных остаётся одним из ведущих векторов атак.
Почему популярные и короткие пароли взламываются мгновенно
Современные инструменты взлома паролей комбинируют словарные, масочные и гибридные атаки, эффективно перебирая распространённые шаблоны и их вариации с заменами символов. По оценкам исследователей и бенчмаркам Hashcat на актуальных GPU, «топовые» пароли и их предсказуемые модификации подбираются практически мгновенно. Короткие пароли (например, до 8 символов) крайне уязвимы к брутфорсу — особенно при офлайн‑атаке на хэши слабых алгоритмов.
NIST SP 800‑63B рекомендует избегать распространённых, ранее скомпрометированных комбинаций, проверять пароли на появление в списках утечек и уделять приоритет вниманию длине и непредсказуемости секретов. Иначе защита сводится на нет даже при наличии формального «разнообразия» символов.
Практические рекомендации по защите аккаунтов
Используйте passkeys и биометрию, где это возможно. Бессекретные ключи аутентификации снижают риски фишинга и угона сессий, устраняя необходимость запоминать пароли.
Если пароли неизбежны — делайте их длинными и уникальными. Выбирайте длину не менее 12 символов с комбинацией строчных/прописных букв, цифр и спецсимволов. Длинные фразы‑пароли лучше запоминаются и сложнее подбираются. Даже одно изменение в длинной фразе повышает стойкость: вместо «icantbelievewerestilltellingyouthis» используйте «icantbelievewerestilltellingy0uthis».
Не повторяйте пароли. Повторное использование — главный ускоритель credential stuffing. Применяйте менеджер паролей для генерации и хранения уникальных секретов на каждый сервис.
Включайте многофакторную аутентификацию (2FA/MFA). Предпочтительнее одноразовые коды в приложениях или аппаратные ключи. SMS‑коды — минимум защиты, но лучше, чем отсутствие MFA.
Следите за утечками. Периодически проверяйте адреса электронной почты в сервисах мониторинга утечек (например, Have I Been Pwned) и оперативно меняйте пароли при сработках.
Итоги исследования Comparitech ясно показывают: угроза остаётся во многом поведенческой. Пока пользователи выбирают «удобство вместо стойкости», автоматизированные атаки будут приносить результат. Переход на passkeys, дисциплина в создании уникальных длинных паролей и обязательная MFA — базовые шаги, которые значительно сокращают поверхность атаки. Проведите ревизию своих учётных записей сегодня: замените слабые и повторно используемые секреты, включите 2FA и по возможности мигрируйте на современную аутентификацию без паролей.
