«Лаборатория Касперского» проверила 231 млн украденных паролей из утечек и показала: если сервис хранит их через старый алгоритм MD5, почти половина раскрывается менее чем за минуту. Для атаки на 60 % таких паролей исследователям хватило меньше часа и одной видеокарты Nvidia GeForce RTX 5090.

Это не значит, что любой аккаунт уже взломан. Но если база паролей попала к злоумышленникам, слабая защита на стороне сервиса и предсказуемые привычки пользователей резко сокращают время на подбор.

Что именно проверили эксперты

Исследователи взяли набор из 231 млн украденных паролей, найденных при анализе утечек в даркнете (от англ. darknet — скрытая часть сети). Затем они преобразовали эти пароли в MD5-хеши и оценили, как быстро современное железо раскрывает исходные комбинации.

Хеширование (от англ. hash — свёртка данных) нужно для того, чтобы сервис не хранил пароль в открытом виде. В нормальной схеме сайт сравнивает не сам пароль, а его хеш. Проблема в том, что MD5 слишком стар и быстр: видеокарты перебирают огромные массивы вариантов, а готовые словари и закономерности ускоряют работу.

По данным «Лаборатории Касперского», 48 % паролей из такого набора раскрываются менее чем за минуту. 60 % — менее чем за час. Для теста хватило одной GeForce RTX 5090, хотя преступники часто используют не домашний компьютер, а арендованные вычислительные мощности.

Почему MD5 больше не спасает

MD5 долго применяли для проверки целостности файлов и хранения паролей, но для защиты учётных записей он давно устарел. Алгоритм слишком быстро считает хеши, а скорость в этой задаче играет против пользователя: чем быстрее перебор, тем дешевле атака.

Современные системы используют более тяжёлые методы хранения паролей: например, с уникальной «солью» для каждой записи и алгоритмами, которые специально замедляют подбор. Соль — это дополнительная случайная строка, которую добавляют к паролю перед хешированием. Она мешает использовать заранее подготовленные таблицы.

Если сервис хранит пароль только через MD5, утечка базы превращает защиту в гонку времени. Для сложной уникальной фразы шансы лучше, для короткого слова с цифрой в конце — почти никаких.

Главная слабость — предсказуемые пароли

Железо стало быстрее, но привычки людей меняются медленно. Пользователи по-прежнему берут имена, даты, названия городов, простые замены букв цифрами и шаблоны вроде слова плюс год. Такие комбинации попадают в словари первыми.

Злоумышленники не перебирают хаос с нуля. Они анализируют реальные утечки, сортируют популярные конструкции и проверяют наиболее вероятные варианты. Поэтому пароль «qwerty2026» выглядит длиннее, чем «qwerty», но почти не добавляет защиты.

Хуже всего работает повторное использование одного пароля. Если он утёк на старом форуме или в интернет-магазине, его пробуют в почте, банке, облаке, мессенджерах и игровых сервисах. Так одна забытая регистрация становится входом в цифровую жизнь человека.

Похожая логика видна и в атаках, где крадут не только пароли, но и служебные ключи. Мы разбирали это на примере материала об утечке ключей API и переписок через уязвимость Ollama: секрет, который попал наружу, нужно считать скомпрометированным, а не «просто засвеченным».

Почему двухфакторная защита уже не опция

Двухфакторная аутентификация снижает ущерб, если пароль раскрыли. Второй фактор не делает пароль ненужным, но ломает сценарий, где злоумышленник просто вводит найденную комбинацию и сразу попадает в аккаунт.

Лучше всего работают аппаратные ключи безопасности и приложения-аутентификаторы с одноразовыми кодами. SMS удобны, но слабее: номер могут перевыпустить мошенники, а сообщения иногда перехватывают через социальную инженерию.

Биометрия тоже помогает, когда она привязана к устройству и не передаёт «слепок» лица или пальца сторонним сервисам. Но её стоит воспринимать как часть системы, а не магическую замену паролям.

Для почты, банка, «Госуслуг», облачного хранилища и рабочих аккаунтов второй фактор нужно включить в первую очередь. Именно эти учётные записи дают доступ к восстановлению паролей на других сайтах.

Что должны делать сервисы, а что зависит от пользователя

Ответственность лежит не только на человеке. Сервисы должны хранить пароли с современными алгоритмами, ограничивать массовые попытки входа, отслеживать подозрительные сессии и быстро сбрасывать секреты после инцидента. Пользователь редко знает, как сайт хранит его пароль, пока не случилась утечка.

Но личная гигиена всё равно важна. Менеджер паролей помогает создавать длинные уникальные комбинации и не держать их в заметках, таблицах или переписках. Для каждого сервиса нужен отдельный пароль: так утечка в одном месте не откроет остальные двери.

Осторожность нужна и с публичными сетями. В кафе, аэропортах и отелях лучше не входить в важные аккаунты без защиты соединения; для таких случаев подойдёт сервис безопасного интернет-соединения, который помогает защитить трафик и приватность данных.

Отдельный риск — фишинг (от англ. phishing — выуживание). Даже самый длинный пароль не спасёт, если человек сам введёт его на поддельной странице. Как преступники вытягивают банковские логины через почту и мессенджеры, мы писали в разборе TCLBANKER.

Практический вывод: что проверить сегодня

  • Замените повторяющиеся пароли. Начните с почты, банка, «Госуслуг», облака и рабочих сервисов.
  • Используйте менеджер паролей и создавайте длинные уникальные комбинации для каждого аккаунта.
  • Включите двухфакторную защиту там, где она доступна. Для важных аккаунтов выбирайте приложение-аутентификатор или аппаратный ключ.
  • Не храните пароли в файлах с названиями вроде «пароли», в заметках телефона и в переписках.
  • Проверяйте адрес сайта перед входом. Не вводите пароль на страницах из случайных инструкций по запросам вроде «что делать если не загружается дискорд» или «что делать если не запускается дискорд».
  • Если сервис сообщил об утечке, меняйте пароль сразу. Если такой же пароль стоял где-то ещё, меняйте и там.
  • Удалите старые аккаунты, которыми не пользуетесь. Чем меньше забытых регистраций, тем меньше точек риска.
  • Настройте уведомления о входе в аккаунт и регулярно проверяйте список активных сессий.
Поделиться: