Такие выводы они сделали на основе проведенного анализа пар "логин-пароль", опубликованных на площадках Даркнета и в закрытых Telegram-каналах.
В беседе с "Известиями" эксперты пояснили, что применение для доступа к аккаунтам всего трех паролей делает пользователей крайне уязвимыми для мошенников. Злоумышленники могут подобрать подобную комбинацию за секунду и даже быстрее.
"Люди все реже стараются придумывать новые пароли. Например, несколько лет назад один-три пароля использовали 22% россиян, а четыре-семь паролей — лишь 37%. И это при том, что создать уникальную комбинацию для доступа к ресурсу сегодня можно не только с помощью менеджера паролей, но и практически через любой браузер", – отметили исследователи.
Эксперт программных продуктов компании "Код Безопасности" Максим Александров пояснил в разговоре с изданием, что на самом деле крадут не сами пароли в "чистом" виде, а их хэш-слепки, позволяющие при известном алгоритме генерации хэша очень быстро подобрать исходную комбинацию. Аферисты могут использовать ее для получения доступа к различным популярным сервисам, так как зачастую юзеры применяют один и тот же пароль для разных платформ. Кроме того, взломанные аккаунты нередко становятся частью бот-сети, отмечает эксперт.
По мнению директора по развитию центра мониторинга внешних цифровых угроз Solar AURA (ГК "Солар") Александра Вураско, лучший способ защититься от взлома — это использовать сложные пароли без смысла (например, набор случайных букв, цифр и символов), которые невозможно угадать.
"Для этого отлично подходят специальные генераторы паролей, которые создают надежные комбинации за пользователей. А не забыть такую комбинацию поможет менеджер паролей — программа, которая с одной стороны надежно хранит данные, а с другой — автоматически подставляет их при входе на сайты. Более того: многие менеджеры уже имеют встроенный генератор паролей — это удобно и безопасно", – посоветовал Вураско.
В свою очередь, основатель сервиса DLBI Ашот Оганесян порекомендовал и пользователям, и компаниям не только генерировать уникальные пароли, но и максимально широко использовать двухфакторную аутентификацию, а также не пренебрегать сервисами проверки попадания данных в утечки. Эксперт напомнил, что компании могут подключать свои хранилища учетных записей к таким сервисам напрямую и оперативно блокировать скомпрометированные логины и пароли.
Ранее Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД РФ обратилось к россиянам с советом менять пароли от важнейших сервисов не реже одного раза в три месяца. К таким сервисам относятся, например, приложения банков, соцсети и электронная почта. Кроме того, в ведомстве посоветовали проверить стойкость своих паролей на предмет обнаружения в утечках.
