Современному человеку не всегда удобно вводить пароли вручную, поэтому для экономии времени люди пользуются встроенными в менеджеры паролей средствами автозаполнения. Доступ к этой функции часто ограничивается средствами биометрической аутентификации, но почему-то не в Google Chrome для Android, и это вскоре может измениться к лучшему, обратил внимание ресурс Android Authority.

Источник изображения: Growtika / unsplash.com

В настройках «Google Менеджера паролей» есть опция, которая блокирует доступ к функции автозаполнения без биометрической аутентификации по лицу или отпечатку пальца. Эта защита работает в большинстве приложений, но не в браузерах, включая Chrome, хотя сам Chrome по умолчанию использует ту же службу автозаполнения.

Теперь же на главной странице настроек «Google Менеджера паролей» появился новый текст описания: «Для дополнительной защиты всегда пользуйтесь аутентификацией по отпечатку пальцев, лицу или иной разблокировкой экрана при входе и использовании автозаполнения (скоро и в Chrome)».

Таким образом, дополнительная аутентификация по распознаванию лица или отпечатка пальца теперь будет запрашиваться и в Google Chrome. Пока нет ясности, будет эта настройка применяться только к самому Chrome, или в настройках браузера появится собственная опция.

Администрация платформы Dropbox приняла решение закрыть сервис менеджера паролей, проработавший пять лет. Пользователей службы поставили в неловкое положение, дав им чуть менее трёх месяцев, чтобы сохранить все свои данные.

Источник изображения: appshunter / unsplash.com

Закрытие сервиса будет производиться поэтапно. 28 августа менеджер паролей переведут в режим просмотра как в мобильном приложении, так и в расширении для браузеров, в этот же день перестанет работать автозаполнение. 11 сентября перестанет работать мобильное приложение, и информацию можно будет восстановить только через браузерное расширение. А 28 октября сервис прекратит работать полностью — Dropbox «безвозвратно и безопасно» удалит все данные, и пользователи окончательно утратят к ним доступ.

Причину этого решения в Dropbox не озвучили, отметив лишь, что это «часть наших усилий по улучшению прочих возможностей нашего основного продукта». Под этой формулировкой может подразумеваться, что пользователей у менеджера паролей Dropbox оказалось не так много. Первоначально он предлагался в пакете версии Pro, а с 2021 года стал бесплатным дополнением к ассортименту служб Dropbox. Оставшимся пользователям менеджера паролей в компании рекомендовали перейти на 1Password, хотя и этот сервис, конечно, не единственный.

19 июня 2025 года источники сообщили о попадании в открытый доступ 16 млрд учётных записей многих популярных интернет-сервисов. Согласно сообщениям экспертов, большинство данных были опубликованы впервые. Подобное должно было заставить всех неравнодушных к своим аккаунтам пользователей отреагировать на угрозу, поменяв пароли и логины. Но когда страсти немного улеглись, выяснилось, что данная утечка — это всего лишь многолетний сборник устаревших архивов.

Источник изображения: ИИ-генерация Grok 3/3DNews

Разбор ситуации с огромной базой, названной по горячим следам «матерью всех взломов», заставил быстро охладить горячие головы. Во всём массиве этой информации так и не нашли признаков свежих взломов, что позволяет говорить, что ни один из популярных интернет-сервисов в последние недели или месяцы не подвергался результативной атаке.

Обнаруженный массив представляет собой сформированную за многие годы обширную подборку, которая была создана с помощью ворующего пароли вредоносного программного обеспечения. В частности, по стилю формирования логов в базе специалисты сделали вывод, что информация собрана инфостилерами. Они заражают компьютеры под управлением Windows и операционных систем Apple, перехватывают нажатия клавиш и методично собирают информацию обо всех логинах и паролях, которые введены в системе. Затем злоумышленник загружает журналы отчётов себе на компьютер, в результате чего вся личная информация становится скомпрометированной.

База на 16 млрд учётных записей, судя по всему, годами собиралась из тысяч или даже сотен тысяч небольших баз, созданных после взломов за несколько последних лет. Её могли собирать как злоумышленники, так и компании по кибербезопасности, чтобы держать руку на пульсе. Кто выложил базу в открытый доступ, сегодня неизвестно. Но непосредственной угрозы для граждан, скорее всего, она не несёт, хотя это хороший случай лишний раз убедиться, что приватность и защищённость в интернете — это миф.

Ещё раз подчеркнём, что в данном инциденте с публикацией огромной базы учётных данных речь не идёт о факте взлома в виде единого инцидента, в ходе которого была похищена сверхкрупная база данных. В то же время подборка весьма внушительная: 16 млрд учётных записей — это осязаемые риски для многих пользователей. Как минимум это даёт понять, что мишенью может стать каждый просто по законам больших чисел. Паниковать не нужно, но оставаться беспечным тоже нельзя.

Данные берутся из публикации Основа информационной безопасности: обзор новой 7-й версии менеджера паролей для бизнеса «Пассворк»

Исследователь кибербезопасности Джеремайя Фаулер (Jeremiah Fowler) обнаружил в открытом доступе базу данных с более, чем 184 миллионами логинов и паролей от таких сервисов, как Apple, Google, Facebook✴, Microsoft, Discord и других. Объём утечки составил 47,42 Гбайт, а среди данных оказались не только учётные записи соцсетей, но и доступ к банковским аккаунтам, медицинским платформам и государственным порталам разных стран.

Источник изображения: AI

Как заявил Фаулер, это одна из самых опасных находок за последнее время. «Подобные утечки случались и раньше, но здесь масштаб колоссальный», — отметил он. В отличие от стандартных баз, которые обычно содержат данные одной компании, в данном случае оказались собраны миллионы записей от сотен тысяч разных сервисов. Для проверки подлинности данных исследователь связался с несколькими пользователями, чьи email-адреса фигурировали в базе. Они подтвердили, что информация соответствует действительности.

База с 184 млн записей лежала в открытом виде на серверах хостинг-провайдера World Host Group. Она была обнаружена Фаулером 6 мая. По определённым признакам можно было понять, что информацию собрали с помощью инфостилеров (шпионское ПО), которые крадут логины и пароли из браузеров, почтовых клиентов и мессенджеров. Такое ПО распространяется через фишинговые письма, взломанный софт и вредоносные сайты. «Некоторые инфостилеры могут даже делать скриншоты или записывать нажатия клавиш», — пояснил Фаулер.

Также интересно, что файлы в базе были помечены как «senha» (португальское слово «пароль»), хотя остальной текст был на английском. Предположительно, это может указывать на международный характер атаки. И хотя после обнаружения утечки база была закрыта, исследователь считает, что злоумышленники наверняка успели скопировать данные.

Украденная информация обычно попадает на чёрные рынки в даркнете или «утекает» в Telegram-каналы, после чего используется для мошенничества, кражи личных данных и новых кибератак. Пока не удалось выяснить, кто именно является инициатором сбора базы, однако сам факт утечки ставит под угрозу пользователей по всему миру. Фаулер рекомендует не хранить конфиденциальные документы в электронной почте, включая налоговые декларации, медицинские записи и пароли.

На конференции Google I/O компания анонсировала новую функцию в Chrome, которая сможет автоматически обновлять слабые или скомпрометированные пароли в браузере. Теперь, если система обнаружит ненадёжный пароль, «Менеджер паролей» Google предложит пользователю автоматически заменить его на более надёжный.

Источник изображения: Firmbee.com / Unsplash

Как сообщает The Verge, новую функцию анонсировали заранее, чтобы разработчики успели адаптировать свои сайты и приложения перед релизом, который запланирован на конец этого года. Сейчас браузер Chrome лишь предупреждает о небезопасных паролях, но не меняет их автоматически.

«Если мы просто скажем пользователю, что его пароль слабый, необходимость менять его вручную вызовет раздражение, — отметила вице-президент и руководитель Chrome Париса Табриз (Parisa Tabriz). — А если что-то раздражает, люди этим пренебрегают. Автоматическая смена пароля является шагом к безопасности и это удобно».

На вопрос о том, будет ли Chrome регулярно обновлять старые пароли, Табриз ответила, что браузер не станет делать это без согласия пользователя. Она подчеркнула, что компания стремится к тому, чтобы люди сами контролировали смену своих данных.

Последняя версия доклада «Таблица паролей» компании Hive Systems, специализирующейся на кибербезопасности, дала тревожный результат: современные видеокарты взламывают хешированные пароли быстрее, чем когда-либо. Производительность оборудования растёт, простые пароли почти не обеспечивают защиту, а длинные и сложные становятся всё более важными для безопасности.

Источник изображения: nvidia.com

Функции хеширования преобразуют текст любой длины в набор символов фиксированного размера — списки паролей превращаются в зашифрованные таблицы. Даже если такая таблица будет украдена с сервера, расшифровать хеш напрямую невозможно — исходные пароли остаются скрытыми. Однако хакеры могут попытаться подобрать их методом грубой силы, то есть перебором множества комбинаций символов с последующим сравнением результатов с имеющимися хешами.

Источник изображения: Hive Systems

Этот метод Hive Systems имитирует в ежегодном докладе. В 2025 году эксперты собрали кластер из двенадцати видеокарт Nvidia GeForce RTX 5090 и протестировали его на скорость работы с хеширующей функцией bcrypt. Пароль из восьми символов, состоящий только из цифр, такая система взламывает за 15 минут. Если использовать только строчные буквы, время взлома возрастает до трёх недель. При сочетании цифр и букв взлом занимает уже 62 года. А при добавлении специальных символов подбор может занять до 164 лет.

Средний прирост производительности Nvidia GeForce RTX 5090 по сравнению с прошлогодней RTX 4090 составляет 33 %, однако при работе с паролями, содержащими цифры, заглавные и строчные буквы, а также специальные символы, ускорение достигает двукратного значения: вместо 2000 лет на взлом потребуется «всего» 1000. На практике, конечно, обе цифры остаются за пределами реальной угрозы, так что причин для паники пока нет. К тому же такой способ взлома возможен только в случае, если у злоумышленника уже есть украденная база хешей паролей. Это лишь ещё одно напоминание о том, что длинные и сложные пароли всегда безопаснее, чем бесконечные «qwerty» и «1234», лидирующие в соответствующих рейтингах из года в год.

Microsoft уже давно подталкивает пользователей Windows к отказу от использования обычных паролей для защиты своих учётных записей. Очередным шагом в этом направлении стал отказ от использования паролей при регистрации новых аккаунтов Microsoft. Теперь пользователям будут предлагать только более безопасные способы защиты учётных записей, такие как ключи доступа (passkey), push-уведомления или ключи безопасности.

Источник изображения: Unsplash

Новая инициатива Microsoft по отказу от паролей сопровождается запуском оптимизированного окна входа в систему. Разработчики изменили порядок шагов при авторизации таким образом, чтобы этот процесс был наиболее прост, когда вместо пароля используется ключ доступа. Хотя в уже зарегистрированных аккаунтах Microsoft пароли никуда не денутся, по крайней мере на данном этапе, в новых учётных записях софтверный гигант от них избавился полностью, и больше не предлагает возможность создать пароль.

«В рамках упрощения пользовательского интерфейса мы меняем свойства новых учётных записей. Теперь новые учётные записи Microsoft будут "беспарольными по умолчанию". У новых пользователей будет несколько вариантов входа в учётную запись без пароля, и им никогда не придётся вводить пароль. Существующие пользователи могут зайти в настройки учётной записи и удалить свой пароль», — говорится в сообщении Microsoft.

Этими изменения Microsoft фактически переименовывает «Всемирный день паролей» во «Всемирный день ключей доступа», обещая продолжить работы по внедрению этого нововведения в будущем. По данным компании, ежегодно регистрируется около 1 млн ключей доступа, причём успешность авторизации с ними составляет 98 %, тогда как при использовании обычных паролей всего 32 %.

Исследователи безопасности из CyberNews проанализировали 19 миллиардов паролей, попавших в сеть в следствии хакерских атак в 2024 и 2025 году, и пришли к выводу, что только 6 % являются уникальным набором символов, а остальные 94 % — это настоящая катастрофа, не отвечающая самым элементарным требованиям безопасности.

Источник изображения: AI

Как пишет TechSpot, 42 % пользователей выбирают пароли длиной 8–10 символов, а 27 % ограничиваются только цифрами и строчными буквами. Если бы не требования сервисов по количеству символов, многие использовали бы и вовсе 3–4 знака. В топе самых предсказуемых вариантов оказались «1234» (727 млн случаев), «password» (56 млн) и «admin» (53 млн). Также популярны имена, ругательства, названия городов, стран и животных.

Источник изображения: CyberNews

«Проблема не в незнании правил безопасности, а в нежелании их соблюдать, — говорят эксперты. — Создать сложный пароль легко, но запомнить его трудно, и без специальных программ держать в голове десятки надёжных комбинаций практически невозможно».

Исследователи выяснили, что люди полагаются на шаблонные варианты, которые хакеры первыми проверяют при взломе. Например, словарь для подбора паролей обязательно включает «qwerty», «iloveyou» и «123456». Такие комбинации взламываются за секунды даже без специального ПО.

Источник изображения: CyberNews

Но решение конечно имеется. Можно использовать менеджеры паролей, например, Bitwarden или 1Password, и двухфакторную аутентификацию (2FA). Однако их используют немногие. «Люди готовы рисковать данными, лишь бы не тратить лишние 30 секунд», — констатируют в CyberNews.

Сообщается, что все проанализированные данные были анонимизированы — не привязаны к конкретному логину или почте. Однако масштабы утечек показывают, если пароль простой или повторяется на нескольких сайтах, шанс взлома крайне велик.

Microsoft объявила о масштабных изменениях в системе входа в учётные записи, которые затронут более одного миллиарда пользователей по всему миру. Новый способ входа через биометрические ключи доступа (passkeys) должен снизить риск фишинга и взломов, а также сделать аутентификацию удобнее.

Источник изображения: сгенерировано AI

Согласно заявлению Microsoft, за последние годы компания внедрила ряд улучшений, включая возможность полного удаления пароля из аккаунта и поддержку входа с помощью ключей доступа (passkeys) вместо пароля. Как отмечает Windows Central, ссылаясь на слова компании, новая система пользовательского опыта (UX) оптимизирована для работы без паролей с приоритетом на ключи доступа.

Microsoft с недавнего времени активно продвигает использование ключей доступа, так как традиционные пароли уже считаются небезопасными. Этот подход поддерживают и другие технологические гиганты, такие как Apple и Google, так как он представляет из себя современный метод аутентификации, который значительно снижает риски, связанные с кражей данных.

Однако переход на passkeys — это не только способ сделать вход в учётные записи безопаснее. Microsoft вообще задумала полностью отказаться от паролей в своей экосистеме, потому что считает, что если оставить и пароль и passkeys, аккаунт всё равно останется уязвимым для фишинга.

Новое обновление, основанное на технологии биометрической аутентификации и двухфакторной проверке, призвано помочь пользователям перейти на беспарольную систему максимально комфортно, а весь процесс будет проходить интуитивно понятно и доступно для всех категорий пользователей, уверяют в Microsoft.

В целом, внедрение новой системы UX для входа в учётные записи может стать, по мнению экспертов, переломным моментом в обеспечении цифровой безопасности. И если Microsoft удастся достичь своей цели и полностью убедить людей отказаться от системы паролей, это может стать серьёзным шагом в защите пользовательских данных на глобальном уровне.

Исследователи безопасности из компании SecurityScorecard обвинили китайских хакеров в проведении массовых скоординированных атак методом распыления паролей на учетные записи Microsoft 365. Обычно распыление паролей блокируется системами безопасности, однако эта кампания нацелена на неинтерактивные входы, используемые для аутентификации между службами, которые не всегда генерируют оповещения безопасности.

Источник изображения: pexels.com

Распыление паролей — это один из методов взлома, который предполагает использование списка часто используемых паролей для массовой атаки на множество учётных записей. Такие атаки нередко бывают успешными, поскольку многие пользователи защищают свои аккаунты простыми паролями, которые несложно подобрать, например, «123456», «password» или «qwerty123». Мировой рекордсмен 2024 года среди паролей, строка «123456», был обнаружен в более чем 3 миллионах учётных записей в процессе исследования компании NordPass. Для взлома такого пароля требуется меньше секунды.

SecurityScorecard в своих обвинениях ссылаются на использование атакующими инфраструктуры, связанной с CDS Global Cloud и UCLOUD HK — организаций, имеющих операционные связи с Китаем. «Эти выводы нашей команды STRIKE Threat Intelligence подтверждают, что злоумышленники продолжают находить и использовать пробелы в процессах аутентификации, — заявил исследователь безопасности SecurityScorecard Дэвид Маунд (David Mound). — Организации не могут позволить себе предполагать, что MFA (многофакторная аутентификация) сама по себе является достаточной защитой. Понимание нюансов неинтерактивных входов имеет решающее значение для устранения этих пробелов».

Хотя распыление паролей — хорошо известная техника, эта кампания отличается своим масштабом, скрытностью и использованием критических слепых зон систем безопасности. В отличие от предыдущих атак, связанных с Solt Typhoon (Китай) и APT33 (Иран), этот ботнет, чтобы избежать обнаружения и блокировки традиционными средствами безопасности, использует неинтерактивные входы, которые применяются для аутентификации между службами и не всегда генерируют оповещения безопасности. Это позволяет злоумышленникам действовать, не активируя защиту MFA или политики условного доступа (CAP), даже в высокозащищённых средах.

Источник изображения: SecurityScorecard

Эта атака имеет последствия для многих отраслей, но организации, которые в значительной степени полагаются на Microsoft 365 для электронной почты, хранения документов и совместной работы, могут быть подвержены особому риску. Чтобы не стать жертвой кибератак, следует:

• Проверять неинтерактивные журналы входа на предмет попыток несанкционированного доступа.
• Менять учётные данные для всех аккаунтов с недавними неудачными попытками входа.
• Отключить устаревшие протоколы аутентификации.
• Отслеживать украденные учётные данные, связанные с их организацией, в журналах похитителей информации.
• Внедрить политики условного доступа, которые ограничивают неинтерактивные попытки входа в систему.

Поскольку Microsoft собирается полностью отказаться от базовой аутентификации к сентябрю 2025 года, эти атаки подчёркивают срочность перехода на более безопасные методы аутентификации, прежде чем они приобретут ещё большие масштабы.

В попытках взлома учётных записей киберпреступники всё чаще нацеливаются на менеджеры паролей — ПО этого типа является объектом для четверти всех вредоносов, сообщили эксперты по кибербезопасности из компании Picus Security.

Источник изображения: Kevin Ku / unsplash.com

Picus Security подробно изложила свои выводы в недавно выпущенном докладе Red Report 2025, основанном на глубоком анализе более миллиона вариантов вредоносных программ, собранных в прошлом году. Четверть вредоносов (25 %) предназначены для кражи учётных данных из хранилищ паролей, и это трёхкратный рост по сравнению с показателями предыдущего года. «Кража учётных впервые вошла в десятку наиболее распространённых методов в базе MITRE ATT&CK Framework. Доклад показывает, что на эти десять распространённых методов пришлись 93 % всей вредоносной активности в 2024 году», — рассказали в Picus Security.

Для кражи паролей хакеры прибегают к различным изощрённым средствам: извлекают данные из оперативной памяти и реестра, компрометируют локальные и облачные хранилища. Атаки растут в объёме и становятся сложнее, а вредоносное ПО отличается повышенной скрытностью, настойчивостью и автоматизированными механизмами работы. Большинство образцов такого ПО включает «более десятка вредоносных действий, призванных обойти защиту, повысить привилегии и извлечь данные».

Менеджеры паролей — программы, предназначенные для генерации, безопасного хранения и автоматического ввода паролей для сайтов и приложений. Они избавляют пользователя от необходимости запоминать их и считаются основой для гигиены в области кибербезопасности.

В браузере Google Chrome появилась основанная на искусственном интеллекте функция автоматической смены скомпрометированных паролей на сайтах — пока она доступна только в тестовых сборках на канале Canary.

Источник изображения: Rubaitul Azad / unsplash.com

Когда браузер обнаруживает, что пользователь пытается воспользоваться скомпрометированным паролем, он выводит предупреждение и предлагает изменить этот пароль. Если пользователь соглашается, браузер самостоятельно генерирует надёжный пароль, самостоятельно изменяет его на этом сайте и сохраняет в менеджере. Включить эту возможность можно в разделе «Экспериментальные ИИ-функции» (chrome://settings/ai) в настройках браузера.

Источник изображения: x.com/Leopeva64

Приватность обеспечивается за счёт сверки хэш-префикса на стороне пользователя; ни сами пароли, ни их полные хэши на внешние ресурсы не передаются. Алгоритмы ИИ в новой функции применяются для автоматической смены паролей на сайтах: система самостоятельно заполняет и отправляет необходимые для этого формы, и пароль меняется на новый.

Около пяти лет назад в Chrome появилась проверка компрометации паролей, которые сохранены в менеджере — она основана на поиске по базе скомпрометированных аккаунтов. Google не раскрывает размер базы данных, которую использует — в одной из известных крупных баз содержится информация о 15 млрд учётных записей.

Всё больше россиян переходит на авторизацию в интернет-сервисах без паролей, отметил ресурс Forbes. По данным VK, в 2024 году число пользователей сервисов компании, предпочитающих беспарольные способы авторизации, включая вход по одноразовому коду, QR-коду, по лицу или же отпечатку пальца, выросло год к году на 30 % до 50 млн. Это составляет порядка 40 % всей аудитории VK ID, увеличившейся за год на 10 % до 126 млн человек.

Источник изображения: Towfiqu barbhuiya/unsplash.com

Также выросло число пользователей VK ID, применяющих второй фактор авторизации — на 22 % за год, превысив 21 млн человек. Кроме того, более 20 тыс. партнёров компании интегрировали VK ID в качестве способа авторизации на сайтах и в приложениях.

Аналогичная тенденция наблюдается у «Яндекса», сообщившего, что количество пользователей, предпочитающих беспарольные способы входа через «Яндекс ID», выросло в 2024 году в 1,5 раза.

В МТС ID по умолчанию используется для входа одноразовый код из SMS, сообщили в компании. Количество зарегистрированных аккаунтов в МТС ID в 2024 году увеличилось на 20 %, превысив 120,6 млн.

Как сообщил бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий, несмотря на тренд по переходу на беспарольные способы идентификации, говорить о полном отказе от паролей не приходится, поскольку имеется немало устаревших устройств (например, банкоматы) или технологий (Wi-Fi или Bluetooth), в которых заложена возможность входа только по паролю/PIN-коду. Он также отметил, что вход по биометрии (отпечатку пальца или лицу) нельзя назвать безопасным в долгосрочной перспективе из-за риска утечки баз данных.

Руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet (Сейфнет) Игорь Бедеров считает более безопасным способом для входа двухфакторную аутентификацию. А наиболее защищённым на сегодняшний день способом он назвал приложение для аутентификации (генерирует код, который используется в дополнение к электронной почте и паролю для подтверждения личности). «Если использовать специальное приложение, то при перевыпуске SIM-карты злоумышленник не сможет получить личные данные пользователя. А взломать мобильное приложение достаточно сложно. Как раз такие приложения-аутентификаторы и должны в конечном итоге заменить классические методы, приемы двухфакторной аутентификации и подтверждения входа как наиболее надёжные», — считает эксперт.

С 29 ноября по 4 декабря «Пассворк» проводит акцию «Чёрная пятница». В эти дни будет действовать скидка 50 % на покупку лицензии, продление подписки, увеличение количества пользователей и переход на расширенную лицензию.

«Пассворк» упрощает совместную работу с корпоративными паролями, идеально вписывается в политику импортозамещения и подходит для бизнеса и госструктур — его уже используют сотни крупнейших компаний!

Почему выбирают «Пассворк»?

• Полный контроль над вашими данными. Все данные хранятся на сервере вашей компании и шифруются алгоритмом ГОСТ или AES-256 — они никогда не передаются в облако.
• Соответствие стандартам и требованиям. Пассворк включён в единый реестр российского ПО, имеет необходимые лицензии ФСТЭК и партнёрские сертификаты Astra Linux, РЕД Софт и ОС «Атлант».
• Удобство и эффективность. Сотрудники легко находят нужные пароли, а администраторы управляют доступами, отслеживают все действия и проводят аудит безопасности.

Акция «Чёрная пятница» действует с 29 ноября по 4 декабря — успейте приобрести «Пассворк» с 50 % скидкой.