«Лаборатория Касперского»: анализ паролей на устойчивость
Компания «Лаборатория Касперского» сообщила, что в июне 2024 г. проанализировала 193 миллиона паролей, обнаруженных в публичном доступе в даркнет-ресурсах, и выяснила, что почти половину из них (45%, или 87 млн) мошенники смогут подобрать менее чем за минуту.
Большинство проанализированных паролей могут быть легко скомпрометированы с помощью умных алгоритмов: для подбора 14% из них (27 млн) мошенникам понадобится не более часа, 8% (15 млн) – не более суток. Умные алгоритмы подбора умеют учитывать замену символов («e» на «3», «1» на «!», «a» на «@») и знают популярные комбинации (qwerty, 12345, asdfg).Только 23% (44 млн) комбинаций оказались достаточно стойкими: на их взлом ушло бы больше года.
Большинство проанализированных паролей (57%) содержат существующее словарное слово, что значительно снижает их устойчивость к взлому. Наиболее часто люди используют в качестве паролей имена («ahmed», «nguyen», «kumar», «kevin», «daniel»), популярные слова («forever», «love», «google», «hacker», «gamer», «password», «admin», «team»), распространенные комбинации («qwerty12345», «12345»).
Как поясняют в «Лаборатории Касперского», для подбора паролей злоумышленникам не требуются глубокие знания или дорогостоящее оборудование. Вычислительные мощности можно арендовать в облачных сервисах, для этого не нужны большие бюджеты. Часто для кражи учетных данных мошенники используют специальные программы – инфостилеры. По данным проведенного компанией исследования, за последние пять лет с их помощью были скомпрометированы логины и пароли для входа на 443 тыс. сайтов по всему миру, а в зоне .ru таким же образом было украдено 2,5 млн пар логинов и паролей. Эффективным методом защиты учетных данных от таких атак остается использование менеджеров паролей. Такие приложения, во-первых, позволяют создавать наиболее стойкие к взлому, полностью случайные комбинации, а во-вторых обеспечивают их безопасное хранение.
Чтобы помочь справиться с угрозой стилеров, в этом году «Лаборатория Касперского» бесплатно предоставляет организациям возможность проверить, не подвергались ли компрометации корпоративные учетные данные из устройств и веб-приложений.