2 млрд утекших паролей: самые слабые комбинации, которые используют миллионы

По данным исследовательского портала Comparitech, уже в начале ноября 2025 года стало известно, что самые уязвимые пароли, используемые в интернет-аккаунтах, были встречены более чем в 2 миллиардах утекших данных. Среди них — пароли, повторяющиеся в десятках миллионов учетных записей, что делает их особенно привлекательными для злоумышленников.

Статистика утечек и распространённые ошибки

Самый распространённый пароль — 123456 — был использован в более чем 7,6 миллионах учётных записей. На втором месте — 12345678 (3,6 млн), на третьем — 123456789 (2,8 млн). Всего три самых слабых пароля встречались 14 миллионов раз. Даже менее сложные комбинации, такие как 12345, упоминались в 1,3 млн случаев.

Согласно данным, 25% из топ-1000 самых популярных паролей содержат только цифры. Более 38% из них включают последовательность 123, а около 2% — 321. В списке также часто встречались пароли вроде abc и 111111, что указывает на систематическую небрежность при создании учетных записей.

Длина и сложность паролей

Отдельно выделено, что 65,8% всех утекших паролей состояли менее чем из 12 символов — это порог, который большинство специалистов по кибербезопасности считают минимальным для защиты. В то же время только 3,2% из утекших паролей имели длину 16 и более символов. Это объясняется сложностью запоминания длинных комбинаций без использования менеджеров паролей.

Согласно отчёту, современные программы для подбора паролей легко справляются с короткими и простыми комбинациями. В отличие от них, сложные пароли — с использованием заглавных и строчных букв, цифр и специальных символов — значительно повышают уровень защиты.

Альтернативы и перспективы

В сообществе ИТ-специалистов обсуждается переход от паролей к passkeys и биометрической аутентификации, что может снизить риски утечек. Однако на текущий момент пароль остаётся основным способом защиты аккаунтов. Для важных учётных записей рекомендуется использовать двухфакторную аутентификацию, если она доступна.

Интересно: Какие меры защиты окажутся наиболее эффективными, когда традиционные пароли начнут вытесняться новыми технологиями, и сохранится ли актуальность двухфакторной аутентификации в эпоху passkeys?

i

Создано специально для ASECTOR

Концептуальное изображение

Как слабые пароли становятся дверью в цифровую жизнь

С каждым годом количество утекших данных растёт, но не меняются и привычки пользователей: миллиарды людей продолжают использовать одни и те же пароли, не понимая, что это делает их уязвимыми. В начале 2025 года исследовательский портал Comparitech выявил, что самые простые и уязвимые пароли — вроде 123456 и 12345678 — встречаются в 2 миллиардах утекших записей. Это не случайность, а результат системной ошибки в поведении пользователей и недостаточного контроля со стороны сервисов.

Почему люди продолжают использовать слабые пароли?

Главный фактор — удобство. Пользователи хотят запомнить пароль, не используя специальные инструменты. Но простота здесь — враг безопасности. Чем короче и предсказуемее пароль, тем быстрее он может быть взломан. Например, последовательность 123 или abc — это не ошибки, а уязвимости, которые атакующие используют по умолчанию.

Также стоит обратить внимание на цифровую лень. 65,8% утекших паролей — меньше 12 символов. Это значит, что большинство пользователей не следуют даже базовым рекомендациям по кибербезопасности. При этом только 3,2% используют длинные и сложные пароли, что требует использования менеджеров, а они, как правило, воспринимаются как излишняя сложность.

Кто выигрывает, а кто проигрывает?

Победители — это те, кто осознаёт угрозу и применяет двухфакторную аутентификацию, сложные пароли и менеджеры. Но таких пользователей пока малая часть. А вот проигравшие — это, в первую очередь, те, кто доверяет одному слабому паролю для нескольких сервисов. Если его взломали, — доступ к почте, банковским приложениям и социальным сетям становится вопросом времени.

Кроме того, платформы, которые не навязывают пользователям требования к паролям, рискуют получить ущерб от массовых атак. В таких случаях уязвимость не только пользователя, но и сервиса. Это может повлиять на репутацию компании и даже привести к штрафам при нарушении требований к защите персональных данных.

Переход к новым форматам аутентификации

В ИТ-сообществе уже обсуждается переход от паролей к passkeys и биометрии. Эти технологии снижают риски утечек, потому что они не хранятся в виде текста и не могут быть скопированы в традиционном смысле. Однако переход будет постепенным, и в ближайшие годы пароли останутся основным способом входа.

Важный нюанс: Даже при переходе к новым технологиям, двухфакторная аутентификация может остаться важным элементом защиты. Она добавляет уровень сложности для злоумышленников, даже если основной метод аутентификации будет изменён.

Утечки данных как основа для мошенничества

Утечки данных не только угрожают конфиденциальности, но и становятся инструментом для мошенничества. Как показывает практика, злоумышленники собирают фрагменты информации из разных источников, включая даркнет-рынки и data-брокеров, и объединяют их в полные профили жертв [!]. Это позволяет им звонить гражданам, называя точные личные данные, и требовать финансовые или личные сведения под предлогом налоговой проверки. Утечки данных тем самым обеспечивают реалистичность атак и повышают их эффективность.

Повышение рисков для бизнеса

Большинство компаний продолжают использовать устаревшие методы аутентификации, такие как пароли и SMS-коды, которые остаются уязвимыми для атак. В условиях роста атак с применением ИИ, позволяющих создавать убедительные фишинговые материалы, многие работники не могут отличить текст, сгенерированный ИИ, от написанного человеком [!]. Переход к passkeys снижает риски фишинга и утечек данных, так как они хранят учетные данные на физических устройствах и защищены от фишинга. Однако их использование остается редким из-за сохраняющегося доверия сотрудников к устаревшим способам аутентификации.

Что делать бизнесу и пользователям?

Для компаний ключевой задачей становится повышение уровня безопасности по умолчанию. Это может включать обязательное использование двухфакторной аутентификации, автоматическое блокирование слабых паролей и интеграцию с менеджерами паролей. Это не только защищает пользователей, но и снижает нагрузку на техническую поддержку, связанную с восстановлением доступа.

Для пользователей важно осознать, что пароль — это ворота в их цифровую жизнь. И если они не защищены должным образом, злоумышленники могут получить доступ к персональным данным, финансовым операциям и даже угрозам в реальной жизни. Внедрение простых практик — использование уникальных паролей, двухфакторной аутентификации и регулярная смена паролей — может существенно снизить риски.

Важный нюанс: Безопасность в интернете — это не вопрос технической сложности, а вопрос поведения. Даже самые продвинутые системы защиты не спасут от человеческой ошибки.