Наиболее уязвимыми специалисты назвали пароли, содержащие фамилию, имя, отчество владельца или его близких, даты рождения, номера телефонов, паспортные данные, СНИЛС, ИНН, а также адресную информацию. Как пояснили в ведомстве, эти сведения не являются конфиденциальными: они нередко публикуются в социальных сетях либо становятся доступны через крупные утечки персональных данных, произошедшие в последние годы.
К числу простейших для взлома отнесены шаблонные комбинации: 123456, qwerty, password, admin, abc123, 111111, а также однотипные наборы вроде aaaaaa или asdfgh. Неэффективной признана и стратегия добавления одной-двух цифр или восклицательного знака к общеупотребительному слову, например Winter1990 или Password123. Зеркальное отражение клавиатурных последовательностей, например qwertyytrewq, также не повышает уровень защиты.
По данным Киберполиции, опасной практикой остается использование одного пароля для всех сервисов. В этом случае одной успешной атаки достаточно для компрометации множества аккаунтов. Не рекомендуется также создавать пароли на основе названия компании-работодателя, должности, хобби, кличек домашних животных, имен детей или мест отдыха.
Руководитель группы информационной безопасности ГК InfoWatch Роман Алабин говорит, что грамотный пароль должен включать буквы разного регистра, цифры и специальные знаки. Однако большинство пользователей ограничиваются стандартным набором символов, вроде восклицательного знака или знака доллара, а цифровую часть заимствуют из повседневной жизни.
В качестве альтернативы эксперт предлагает создать уникальную числовую последовательность, никак не связанную с публичной информацией о человеке, и использовать ее в качестве основы для всех паролей. При утечке одного из них логику составления остальных придется менять, поэтому важно отслеживать оповещения сервисов о возможных компрометациях.
Также Алабин рекомендует пользоваться встроенными генераторами паролей в браузерах. Они создают случайные наборы символов, которые сложно запомнить, но надежно защищают данные. Хранить такие комбинации допустимо в менеджерах паролей или зашифрованных заметках на устройстве. Кроме того, эксперт советует активировать двухфакторную аутентификацию и ограничение попыток входа в настройках аккаунтов, чтобы затруднить злоумышленникам перебор паролей. Ключевое правило безопасности - использование уникального сложного пароля для каждого сервиса, причем решающее значение имеет длина комбинации, а не только ее сложность.