1. Введение
Пароль остаётся наиболее распространённым механизмом аутентификации в информационных системах, несмотря на развитие альтернатив — биометрии, аппаратных токенов и passkey. Согласно отчёту Verizon Data Breach Investigations Report 2024, скомпрометированные учётные данные по-прежнему являются причиной более 80 % взломов, связанных с веб-приложениями [1].
Проблема усугубляется систематическим несоблюдением пользователями рекомендаций по созданию надёжных паролей. Несмотря на то что NIST ещё в 2017 году обновил стандарт SP 800–63B, закрепив требование минимальной длины в 8 символов и отказ от обязательной периодической смены паролей, реальная практика пользователей значительно расходится с нормативными требованиями [2].
Цель данной работы — на основе агрегированных публичных исследований охарактеризовать актуальное состояние парольной гигиены пользователей, выявить системные паттерны небезопасного поведения и оценить масштаб проблемы.
2. Источники и методология
Анализ проводился на основе следующих публичных источников:
— Have I Been Pwned (HIBP) — база данных Троя Ханта, содержащая сведения о более чем 13 миллиардах скомпрометированных аккаунтов. Агрегированная статистика паролей публикуется в форме SHA-1 хэш-списков (Pwned Passwords), что исключает прямой доступ к открытым текстам [3];
— Specops Weak Password Report 2024 — ежегодный отчёт компании Specops Software, основанный на анализе более 4,6 миллиарда уникальных паролей из реальных утечек;
— NordPass Top 200 Most Common Passwords 2024 — рейтинг, составленный совместно с независимыми исследователями на основе утечек объёмом более 2,5 ТБ;
— Академические работы, опубликованные в рецензируемых изданиях IEEE, ACM и Springer за 2022–2024 годы.
Важно подчеркнуть, что ни в одном из использованных источников не применяются сырые базы похищенных данных — вся статистика получена организациями, действующими в рамках ответственного раскрытия информации (responsible disclosure).
3. Результаты анализа
3.1. Длина паролей
Распределение паролей по длине, согласно данным Specops Weak Password Report 2024, демонстрирует устойчивую концентрацию в диапазоне 8–10 символов — несмотря на то что современные рекомендации (NIST SP 800–63B, NCSC) предписывают минимум 12 символов для пользовательских паролей [4].
Таблица 1
Распределение паролей по длине (по данным Specops 2024)
|
Длина пароля |
Доля от общего числа, % |
Соответствие NIST (≥12 симв.) |
Среднее время перебора |
|
≤ 6 символов |
18,4 % |
Нет |
< 1 сек |
|
7 символов |
9,1 % |
Нет |
< 1 сек |
|
8 символов |
28,7 % |
Нет |
Секунды–минуты |
|
9–11 символов |
24,3 % |
Нет |
Часы–дни |
|
12–15 символов |
14,2 % |
Да |
Месяцы |
|
≥ 16 символов |
5,3 % |
Да |
Годы–столетия |
Таким образом, более 80 % паролей имеют длину менее 12 символов и не соответствуют актуальным нормативным требованиям. Критически уязвимы пароли длиной до 8 символов: при использовании GPU-ускоренного перебора (hashcat на RTX 4090) хэши MD5 для паролей длиной 8 символов и менее взламываются менее чем за минуту при атаке полным перебором [5].
3.2. Состав символов
Анализ символьного состава паролей выявляет критический дефицит энтропии: подавляющее большинство паролей состоит преимущественно из строчных латинских букв и цифр, тогда как использование специальных символов и смешанного регистра остаётся редкостью.
Таблица 2
Символьный состав паролей (по данным NordPass 2024 и Specops 2024)
|
Характеристика |
Доля паролей, % |
Примечание |
|
Только строчные буквы |
26,1 % |
Наиболее уязвимая группа |
|
Буквы + цифры |
34,8 % |
Минимальный уровень защиты |
|
Смешанный регистр |
12,3 % |
Незначительное улучшение |
|
Хотя бы 1 спецсимвол |
16,9 % |
Существенно повышает стойкость |
|
Все 4 класса символов |
9,9 % |
Соответствует рекомендациям |
3.3. Наиболее распространённые паттерны
По данным NordPass Top 200 (2024), первые позиции рейтинга занимают предсказуемые лексические и числовые паттерны. Вместо публикации конкретных паролей ниже приведена их категориальная классификация с указанием доли в общем объёме.
Таблица 3
Категории наиболее часто встречающихся паролей (NordPass 2024)
|
Место |
Категория паролей |
Доля в топ-200, % |
Время взлома |
|
1–5 |
Числовые последовательности (клавиатурные) |
~31 % |
< 1 сек |
|
6–20 |
Словарные слова (английский язык) |
~22 % |
< 1 сек |
|
21–50 |
Имена собственные |
~18 % |
< 1 сек |
|
51–100 |
Словарное слово + цифры |
~14 % |
< 1 мин |
|
101–200 |
Паттерны клавиатуры (qwerty и т. п.) |
~15 % |
< 1 сек |
3.4. Соответствие парольным политикам
Оценка соответствия паролей актуальным стандартам проводилась по трём уровням строгости: минимальному (NIST SP 800–63B), корпоративному (CIS Controls v8) и максимальному (рекомендации NCSC для привилегированных учётных записей).
Таблица 4
Соответствие паролей парольным политикам различных уровней
|
Стандарт / Политика |
Требования |
% соответствия |
% несоответствия |
|
NIST SP 800–63B |
≥ 8 симв., нет в словаре утечек |
51,5 % |
48,5 % |
|
CIS Controls v8 |
≥ 14 симв., 3 из 4 классов |
8,7 % |
91,3 % |
|
NCSC (привилег.) |
≥ 16 симв., все классы, уникальный |
3,2 % |
96,8 % |
Полученные данные наглядно иллюстрируют разрыв между нормативными требованиями и реальной практикой. Даже по наиболее мягкому стандарту (NIST) почти половина паролей не соответствует установленным требованиям.
4. Обсуждение результатов
Выявленные закономерности указывают на системный характер проблемы. Пользователи склонны выбирать пароли, которые легко запомнить, — как правило, это словарные слова, имена, даты и простые числовые последовательности. Подобное поведение обусловлено известным «компромиссом между безопасностью и удобством» (security-usability tradeoff), описанным в работах Adams и Sasse ещё в 1999 году и актуальным до сих пор [6].
С технической точки зрения наибольшую угрозу представляют атаки по словарю (dictionary attacks) и атаки с применением радужных таблиц. При использовании GPU-ускоренного инструментария хэши слабых паролей взламываются практически мгновенно: по оценкам Hive Systems Password Table 2024, пароль из 8 символов (только строчные буквы) на базе хэша MD5 подбирается менее чем за 1 секунду [5].
Среди возможных технических контрмер необходимо выделить следующие:
— внедрение проверки новых паролей на вхождение в базы утечек (интеграция с API Have I Been Pwned);
— применение медленных алгоритмов хэширования: bcrypt, scrypt, Argon2id;
— обязательное использование многофакторной аутентификации (MFA) для критичных систем;
— переход к технологии passkey (FIDO2/WebAuthn) как к долгосрочной альтернативе паролям.
5. Заключение
Проведённый анализ публичных исследований паролей из баз утечек 2023–2025 годов подтверждает сохраняющуюся критическую ситуацию в области парольной безопасности. Более 80 % паролей не соответствуют рекомендациям NIST по длине; свыше 90 % не удовлетворяют корпоративным стандартам сложности. Наиболее распространённые категории паролей — числовые последовательности и словарные слова — взламываются автоматизированными инструментами менее чем за секунду.
Полученные результаты подчёркивают необходимость смещения акцента с регламентирования пользовательского поведения на технологические решения: переход к passkey, обязательная MFA и серверная проверка паролей по базам утечек. Дальнейшие исследования могут быть направлены на изучение эффективности различных механизмов парольных подсказок и UX-решений для формирования устойчивых навыков создания надёжных паролей.
Литература:
- Verizon. Data Breach Investigations Report 2024 // Verizon Business. — 2024. — URL: https://verizon.com/dbir (дата обращения: 01.04.2025).
- Grassi P. A. et al. NIST Special Publication 800–63B: Digital Identity Guidelines — Authentication and Lifecycle Management. — NIST, 2017 (rev. 2022). — 79 с.
- Hunt T. Have I Been Pwned: Pwned Passwords // haveibeenpwned.com. — 2025. — URL: https://haveibeenpwned.com/Passwords (дата обращения: 02.04.2025).
- Specops Software. Weak Password Report 2024. — Outpost24, 2024. — URL: https://specopssoft.com/research/weak-passwords (дата обращения: 02.04.2025).
- Hive Systems. Password Table 2024 // hivesystems.com. — 2024. — URL: https://hivesystems.com/blog/are-your-passwords-in-the-green (дата обращения: 03.04.2025).
- Adams A., Sasse M. A. Users are not the enemy // Communications of the ACM. — 1999. — Vol. 42, № 12. — P. 40–46.
- NordPass. Top 200 Most Common Passwords 2024 // nordpass.com. — 2024. — URL: https://nordpass.com/most-common-passwords-list (дата обращения: 03.04.2025).
