2024 m. birželį „Kaspersky“ išanalizavo 193 milijonus slaptažodžių, rastų viešai prieinamų „darknet“ šaltiniuose, ir nustatė, kad beveik pusę jų (45 proc. arba 87 mln.) sukčiai galėjo atspėti greičiau nei per minutę.
Daugumą analizuojamų slaptažodžių galima nesunkiai pažeisti naudojant išmaniuosius algoritmus: 14% jų atrinkti (27 mln.) sukčiams prireiks ne daugiau nei valandos, 8% (15 mln.) – ne daugiau nei paros. Išmanieji atrankos algoritmai gali atsižvelgti į simbolių pakeitimą („e“ į „3“, „1“ į „!“, „a“ į „@“) ir žinoti populiarius derinius („qwerty“, „12345“, „ asdfg"). Tik 23% (44 mln.) derinių pasirodė pakankamai tvirti: jas nulaužti prireiktų daugiau nei metų.
Daugumoje analizuotų slaptažodžių (57 proc.) yra esamas žodyno žodis, o tai žymiai sumažina jų atsparumą įtrūkimui. Dažniausiai žmonės vartoja vardus ("ahmed", "nguyen", "kumar", "kevin", "daniel"), populiarius žodžius ("amžinai", "meilė", "google", "hacker", "gamer", „slaptažodis“, „adminas“, „komanda“), įprasti deriniai („qwerty12345“, „12345“).
„Nusikaltėliams slaptažodžiams atspėti nereikia gilių žinių ar brangios įrangos. Skaičiavimo galią galima išsinuomoti debesų paslaugose, tai nereikalauja didelių biudžetų. Kredencialams pavogti sukčiai dažnai naudoja specialias programas, vadinamas informacijos vagimis. Remiantis mūsų komandos tyrimais, per pastaruosius penkerius metus jie buvo naudojami 443 tūkst. svetainių visame pasaulyje prisijungimams ir slaptažodžiams sukompromituoti, o .ru zonoje tokiu pat būdu buvo pavogta 2,5 mln. prisijungimo vardų ir slaptažodžių porų. Veiksmingas būdas apsaugoti kredencialus nuo tokių atakų išlieka slaptažodžių tvarkytuvų naudojimas. Tokios aplikacijos, pirma, leidžia sukurti atspariausias įsilaužimams, visiškai atsitiktines kombinacijas, antra, užtikrina saugų jų saugojimą“, – aiškina Julija Novikova, Kaspersky Digital Footprint Intelligence tarnybos vadovė.
Įmonės ekspertai primena slaptažodžių kūrimo ir saugojimo taisykles:
- Sunku prisiminti ilgus ir unikalius visų naudojamų paslaugų slaptažodžius, bet jei naudojate slaptažodžių tvarkyklę, turite atsiminti tik pagrindinį slaptažodį;
- kiekvienai paslaugai naudokite skirtingus slaptažodžius. Tokiu atveju, net jei prieiga prie vienos iš paskyrų bus pavogta, kitos nebus pažeistos;
- slaptafrazės bus saugesnės, jei naudosite netikėtus žodžius, o jei naudosite įprastus žodžius, galėsite juos išdėstyti neįprasta tvarka ir įsitikinti, kad jie nesusiję. Yra internetinių paslaugų, kurios padeda patikrinti, ar sukurtas slaptažodis yra pakankamai stiprus;
- neįtraukite į slaptažodžius asmeninių duomenų, tokių kaip gimtadieniai, šeimos narių vardai, augintinių vardai ar savo vardo, užpuolikai tokius derinius „sulaužo“ labai greitai;
- įgalinkite dviejų veiksnių autentifikavimą visose paslaugose, kur įmanoma. Nors tai nėra tiesiogiai susiję su slaptažodžio stiprumu, 2FA įjungimas suteikia papildomo saugumo lygio. Šiuolaikinės slaptažodžių tvarkyklės saugo 2FA raktus ir apsaugo juos naudodami naujausius šifravimo algoritmus;
- naudokite patikimą apsaugos sprendimą: jis praneš jums, jei įvyktų nutekėjimas, ir primins, kad reikia pakeisti slaptažodį.