Московские новости
КиберпанкДеталиТехнологии

Пароли небезопасны. Что делать?

7 мая в этом году — Всемирный день пароля. Несмотря на многочисленные атаки хакеров, утечки и предупреждения экспертов по кибербезопасности, пользователи по-прежнему используют простые комбинации. Они легко поддаются взлому — как, впрочем, и сложные коды доступа. Поэтому в последние годы популярность набирают беспарольные способы авторизации. Рассказываем, что это и как работает. 

Дарья Глущенкова

Почему пароли небезопасны и чем их можно заменить

Эксперты по кибербезопасности уже несколько лет подряд предупреждают: пароли — самая большая проблема современных пользователей. Это простой, но наименее надежный способ защиты: их легко украсть, подобрать или угадать, поэтому они постоянно «утекают» в открытый доступ. Причем исследования показывают, что за последние 10 лет привычки юзеров практически не изменились: только 15% паролей на данный момент можно классифицировать как «сложные». Это значит, что они состоят как минимум из 12 символов, содержат случайные цифры, прописные и строчные буквы. Остальные 85% считаются простыми или предсказуемыми — например, состоят из популярных сочетаний клавиш (123456, admin, qwerty и так далее). 

Мы часто применяем ленивый подход к паролям на свой страх и риск, предпочитая удобство безопасности. Даже правила принудительного усложнения паролей на сайтах не являются надежным решением, если они повторно используются в нескольких учетных записях. Преступники становятся все более изощренными, используют ИИ — это факт. И мы должны делать больше для защиты наших учетных данных. 

Джереми Фаулер 
исследователь в области кибербезопасности

Какие пароли чаще всего используют россияне

Россияне часто выбирают простые пароли. В топе — последовательности вроде 123456, 111111, 000000 и qwerty, годы рождения, слово password и его вариации. Также распространены пароли с именами (как людей, так и домашних питомцев), названиями городов. 

По подсчетам DLBI, треть российских пользователей используют для доступа к разным аккаунтам всего три пароля. Эксперты напоминают: чем меньше уникальных комбинаций применяет человек, тем быстрее их раскрывают хакеры. 

Существуют несколько технологий, которые могут обезопасить пользователя. Речь в первую очередь про менеджер паролей и двухфакторную аутентификацию. 

  • Менеджер паролей — это сервис, в котором пользователь может хранить все свои сложные пароли. В таком случае вместо десятков кодов доступа необходимо помнить только один — от самого менеджера паролей. Обычно такое приложение может также генерировать сложные ключи и автоматически подставлять их на сайтах. Данные зашифрованы: если злоумышленники получат доступ к серверу, они увидят лишь набор символов, бесполезный без мастер-пароля. Но и тут существуют риски — слабый мастер-пароль и фишинговые сайты, маскирующиеся под оригинальные и собирающие данные пользователей. 
  • Двухфакторная аутентификация (2FA) — система, при которой пользователю нужно подтвердить свою личность двумя разными способами. Это может быть код из СМС или одноразовый пароль — в дополнение к обычному паролю. Кодами авторизации делиться ни с кем нельзя. Слабая сторона технологии — уязвимость СМС-кодов, которые перехватывают преступники (через вирусы, подмену SIM-карт или с помощью методов социальной инженерии). 

На этом фоне эксперты фиксируют глобальный тренд на отказ от паролей — в пользу так называемых «беспарольных» способов авторизации. Это могут быть QR-коды, отпечатки пальцев и скан лица, а также passkey. 

Что такое passkey и насколько это безопасно

В последние годы ИТ-гиганты активно продвигают идею отказа от паролей. В 2012-м сложился альянс FIDO (Fast IDentity Online, то есть «быстрая онлайн-идентификация»), к которому со временем присоединились более 250 участников, включая PayPal, Google, Microsoft и Apple. В 2023-м организация представила свою самую популярную разработку — технологию passkey («ключ доступа»). Это еще одна форма авторизации без пароля. 

Passkey основан на паре криптографических ключей — закрытом и открытом. Внешне работа технологии выглядит как обычный ввод пароля: пользователь пытается зайти на сайт, а смартфон или компьютер запрашивает защитный ПИН-код, скан лица или отпечаток пальца. Внутри все немного сложнее: при регистрации на сайте создается пара ключей — открытый передается сервису, закрытый хранится на самом устройстве. При входе устройство сначала подтверждает личность владельца, а затем отправляет сайту защищенный криптографический ответ. То есть passkey привязан к определенному сервису — риска утечки или случайного использования ключа на фишинговом сайте фактически нет, объясняют эксперты.  

Ключ доступа подобен сверхдлинному паролю, который вы не можете скопировать и вставить, но который ваш компьютер и телефон могут использовать для входа на веб-сайт быстрее и безопаснее, чем пароль.

Джейкоб Хоффман-Эндрюс
старший технический эксперт Electronic Frontier Foundation 

В мире, где искусственный интеллект может имитировать голоса и генерировать безупречные фишинговые электронные письма, passkey — это самая важная защита, которая у нас есть для предотвращения кражи персональных данных.  

Дерек Хэнсон
вице-президент разработчика ключей безопасности Yubico

Несмотря на сложность технологии, для пользователя использование passkey быстрее и проще, чем запоминание пароля или двухфакторная аутентификация. 

Дэйв Чисмон
старший технический эксперт Национального центра кибербезопасности Великобритании 

Тренд на passkey постепенно набирает обороты. Так, в конце апреля Национальный центр кибербезопасности Великобритании (NCSC) перестал продвигать пароль как рекомендуемый способ входа и назвал наиболее безопасной альтернативой именно passkey. Чтобы установить уникальный ключ доступа, как правило, достаточно зайти в настройки сервиса и в разделе «Безопасность» найти опцию «Создать passkey». Подробные инструкции есть у Google, Microsoft и других компаний. В России один из наиболее масштабных примеров реализации этой технологии — «Яндекс ID»

Готовы ли россияне отказаться от паролей

Опрос «Лаборатории Касперского», проведенный в марте 2025 года, показал: 31% россиян уже используют беспарольные методы аутентификации для всех аккаунтов, где это возможно. Четверть респондентов (27%) отметили, что применяют их только для важных сервисов — например, для входа в мессенджеры или банковские приложения. 

Эту тенденцию фиксируют и крупные игроки местного интернет-рынка. Так, в VK в марте 2026-го отметили рост числа пользователей, которые авторизуются на сайтах и в сервисах по скану лица или отпечатку пальца: за год аудитория «беспарольных сценариев», как их назвали в компании, подскочила на 16% и достигла 58 млн юзеров. По данным «Яндекса» на лето 2025-го, 94% пользователей «Яндекс ID» выбирали беспарольные способы входа в аккаунт. В эту же сторону движутся государственные сервисы и банковский сектор. Например, у «Сбера» и «Т-Банка» работает авторизация по биометрии. 

Фото обложки: Zoonar / Imago / TASS

Копировать ссылкуСкопировано