Пароли: использование, проблемы, решения в 2025 году

Всем привет! Меня зовут Геннадий Перминов. Я представляю направление анализа защищенности компании Нейроинформ.

Сегодня мы поговорим о парольной защите, тенденциях развития методов атак на пароли в 2025 году и способах противодействия.

Согласно ежегодному исследованию стойкости паролей, проводимом компанией Hive Systems, в 2025 году пароли, состоящие из девяти цифр, вообще не могут считаться паролями, так как подбираются в течение нескольких секунд, как и шести символьные пароли, состоящие только из строчных букв, которые могут быть получены менее, чем через час.

Полные данные представлены в таблице ниже.

Однако, как следует из таблицы, парольная защита продолжает быть надежным способом аутентификации. Во-первых, стойкость в данном исследовании оценивалась при условии использования 12 видеокарт NVIDIA RTX 5090, что потребует некоторых вложений. Во-вторых, даже при этом подбор всего лишь восьми символьного пароля, составленного по всем правилам, потребует внушительные 164 года! Что говорит о его достаточной надежности. Важно учитывать, что при переборе паролей нужная комбинация может случайно встретиться на первых шагах.

Согласно отчету Specops, выпущенному в 2025 году, в 2024 году было обнаружено более одного миллиарда учетных данных, украденных вредоносным ПО за 12 месяцев. Из них 230 миллионов соответствуют формальным требованиям длины и сложности.

Как видно из следующей таблицы, сотни миллионов утекших паролей имеют длину 8 символов и более, а три самых частых паролей зачастую имеют в составе строчные буквы, заглавные, цифры и спецсимволы:

Но, как видим, это не уберегло их от компрометации. Давайте разберемся в причинах.

Люди часто независимо друг от друга устанавливают одинаковые пароли.

Например, самые частые пароли среди украденных:

В сумме они дают примерно 8 млн утечек. То есть, каждый 125-й утекший в 2024 году пароль представлен в этой небольшой таблице. Совсем рядом с этим топом расположен легендарный пароль “qwerty”. И эта тенденция сохраняется уже несколько лет.

Все это позволяет хакерам составлять словари наиболее частых паролей и значительно сокращать время перебора.

Списки запрещенных паролей как механизм защиты

Перед назначением пароля неплохо бы проверить его наличие в словарях частых паролей.

Например, словари содержат русские женские и мужские имена, русские фамилии, написанные транслитом, даты рождения, названия стран, наборы цифр, а также уже утекшие пароли. При переборе эти словари можно комбинировать между собой для достижения максимальной эффективности.

Такую проверку легко можно провести самостоятельно.

Часто пользователи используют одни и те же логины и пароли для регистрации на различных сторонних сервисах. Наш опыт проведения проектов по анализу открытых источников показывает, что могут использоваться не только личные адреса электронной почты, но даже корпоративные.

Согласно исследованию компании LastPass 91% пользователей понимают риски повторного использования паролей, но 59% все равно делают это.

И тогда взлом и утечка базы данных клиентов на стороннем сервисе, о существовании которого давно забыл и пользователь, и его создатели, может поставить компанию под удар.

Вероятно, если пользователю было лень создавать новый ящик, и он использовал корпоративный адрес для регистрации, то он вполне мог установить и тот же пароль.

Не говоря о том, что эти данные могут быть использованы в атаках социальной инженерии.

На рисунке ниже представлен пример обнаружения нами учетных данных пользователей, привязанных к корпоративному домену, в различных утечках.

Даже самые стойкие пароли не устоят перед инфостилерами. Это злонамеренное ПО, созданное специально для кражи паролей.

Инфостилер попадает на компьютер жертвы, например, в результате фишинговой атаки, когда пользователю под видом получения какой-то важной для него информации предлагается перейти по ссылке или скачать файл.

Далее он ищет и собирает разные виды чувствительной информации: сохраненные пароли браузеров, Cookie-файлы и данные автозаполнения, информация в буфере обмена, конфигурационные файлы и так далее. Собранная информация отправляется злоумышленнику и там анализируется.

По данным того же отчета отчету Specops, наиболее часто использующимся инфостилером в 2024 году был Redline, на долю которого приходится почти половина всех украденных паролей. За шесть месяцев 2025 года с помощью Redline уже украдено 170 миллионов уникальных учетных записей.

Антивирусные решения являются одним из ключевых элементов защиты от инфостилеров и других видов вредоносного ПО. Поведенческий анализ, реализованный в современных средствах антивирусной защиты, отслеживает активность процессов в системе (например, попытки перехвата клавиатуры, чтение сохраненных паролей в браузере, модификацию системных файлов), что позволяет выявлять инфостилеров и руткиты, даже если их сигнатура отсутствует в базе данных антивируса.

Также критически важным является регулярное обновление антивирусного ПО.

По нашей оценке, примерно в трети проектов по анализу защищенности выполненных в 2024-2025 годах нам удавалось обнаружить различные сервисы, никак не противодействующие подбору паролей. Злоумышленник, неограниченный по времени, может использовать эту возможность для проникновения внутрь инфраструктуры компании со всеми последствиями.

Дополнительные меры защиты могут значительно усложнить подбор пароля даже при использовании простого или частого пароля.

Основная из них – это блокировка аккаунта после определенного количества неудачных попыток, например, трех или пяти, с дальнейшей ручной разблокировкой администратором.

Однако, следует помнить, что слишком строгая блокировка может использоваться в DoS‑атаках, когда злоумышленники намеренно массово блокируют аккаунты легитимных пользователей. Для уменьшения такого риска можно заменить полную блокировку на таймаут 15-30 минут.

Еще одной мерой может быть использование прогрессивной задержки. Этот метод подразумевает увеличение задержки перед следующей попыткой с каждой неудачной попыткой. Пример, первая неудачная попытка - без задержки, вторая - 10 секунд, третья - 45 секунд и так далее.

Также эффективным методом противодействия подбору паролей является использование механизмов CAPTCHA. CAPTCHA это компьютерный тест, используемый для того, чтобы определить, кем является пользователь системы: человеком или компьютером. Он делает невозможным использование автоматических средств подбора.

При этом злоумышленники уже научились обходить слабые и устаревшие механизмы CAPTCHA. На это следует обратить внимание.

Многофакторная аутентификация (MFA — Multi-Factor Authentication) - это метод подтверждения личности пользователя с использованием двух или более независимых факторов. Это могут быть: смарт-карта, токен, мобильное устройство с приложением-аутентификатором (Google Authenticator, Authy), аппаратный ключ (FIDO2, YubiKey), биометрия (радужка глаза или отпечаток пальца и т.д.).

Из перечисленных, по нашему опыту, самым частым является мобильное устройство с приложением-аутентификатором из-за удобства и дешевизны, а самым редким – биометрия из-за сложностей, связанных с соблюдением законодательства по защите биометрических персональных данных.

Наличие многофакторной аутентификации делает фишинговые атаки, кражи пароля, а также атаки перебором почти бесполезными без второго фактора.

Итак, по итогу сказанного, основными рекомендациями по повышению надежности парольной защиты в 2025 году являются:

• Использование списков запрещенных частых паролей, чтобы блокировать создание очевидных частых и слабых паролей.
• Обучение о недопущении использования корпоративных адресов для регистрации на сторонних сервисах повторного.
• Использование современных антивирусов с поведенческим анализом для обнаружения инфостилеров и другого вредоносного ПО.
• Использование механизмов противодействия подбору паролей: ограничение количества попыток и блокировки аккаунтов, внедрение прогрессивных задержек, механизмов CAPTCHA.
• Внедрение многофакторной аутентификации.