Исследователь кибербезопасности Джеремайя Фаулер (Jeremiah Fowler) обнаружил в открытом доступе базу данных с более, чем 184 миллионами логинов и паролей от таких сервисов, как Apple, Google, Facebook✴, Microsoft, Discord и других. Объём утечки составил 47,42 Гбайт, а среди данных оказались не только учётные записи соцсетей, но и доступ к банковским аккаунтам, медицинским платформам и государственным порталам разных стран.

Источник изображения: AI

Как заявил Фаулер, это одна из самых опасных находок за последнее время. «Подобные утечки случались и раньше, но здесь масштаб колоссальный», — отметил он. В отличие от стандартных баз, которые обычно содержат данные одной компании, в данном случае оказались собраны миллионы записей от сотен тысяч разных сервисов. Для проверки подлинности данных исследователь связался с несколькими пользователями, чьи email-адреса фигурировали в базе. Они подтвердили, что информация соответствует действительности.

База с 184 млн записей лежала в открытом виде на серверах хостинг-провайдера World Host Group. Она была обнаружена Фаулером 6 мая. По определённым признакам можно было понять, что информацию собрали с помощью инфостилеров (шпионское ПО), которые крадут логины и пароли из браузеров, почтовых клиентов и мессенджеров. Такое ПО распространяется через фишинговые письма, взломанный софт и вредоносные сайты. «Некоторые инфостилеры могут даже делать скриншоты или записывать нажатия клавиш», — пояснил Фаулер.

Также интересно, что файлы в базе были помечены как «senha» (португальское слово «пароль»), хотя остальной текст был на английском. Предположительно, это может указывать на международный характер атаки. И хотя после обнаружения утечки база была закрыта, исследователь считает, что злоумышленники наверняка успели скопировать данные.

Украденная информация обычно попадает на чёрные рынки в даркнете или «утекает» в Telegram-каналы, после чего используется для мошенничества, кражи личных данных и новых кибератак. Пока не удалось выяснить, кто именно является инициатором сбора базы, однако сам факт утечки ставит под угрозу пользователей по всему миру. Фаулер рекомендует не хранить конфиденциальные документы в электронной почте, включая налоговые декларации, медицинские записи и пароли.

На конференции Google I/O компания анонсировала новую функцию в Chrome, которая сможет автоматически обновлять слабые или скомпрометированные пароли в браузере. Теперь, если система обнаружит ненадёжный пароль, «Менеджер паролей» Google предложит пользователю автоматически заменить его на более надёжный.

Источник изображения: Firmbee.com / Unsplash

Как сообщает The Verge, новую функцию анонсировали заранее, чтобы разработчики успели адаптировать свои сайты и приложения перед релизом, который запланирован на конец этого года. Сейчас браузер Chrome лишь предупреждает о небезопасных паролях, но не меняет их автоматически.

«Если мы просто скажем пользователю, что его пароль слабый, необходимость менять его вручную вызовет раздражение, — отметила вице-президент и руководитель Chrome Париса Табриз (Parisa Tabriz). — А если что-то раздражает, люди этим пренебрегают. Автоматическая смена пароля является шагом к безопасности и это удобно».

На вопрос о том, будет ли Chrome регулярно обновлять старые пароли, Табриз ответила, что браузер не станет делать это без согласия пользователя. Она подчеркнула, что компания стремится к тому, чтобы люди сами контролировали смену своих данных.

Последняя версия доклада «Таблица паролей» компании Hive Systems, специализирующейся на кибербезопасности, дала тревожный результат: современные видеокарты взламывают хешированные пароли быстрее, чем когда-либо. Производительность оборудования растёт, простые пароли почти не обеспечивают защиту, а длинные и сложные становятся всё более важными для безопасности.

Источник изображения: nvidia.com

Функции хеширования преобразуют текст любой длины в набор символов фиксированного размера — списки паролей превращаются в зашифрованные таблицы. Даже если такая таблица будет украдена с сервера, расшифровать хеш напрямую невозможно — исходные пароли остаются скрытыми. Однако хакеры могут попытаться подобрать их методом грубой силы, то есть перебором множества комбинаций символов с последующим сравнением результатов с имеющимися хешами.

Источник изображения: Hive Systems

Этот метод Hive Systems имитирует в ежегодном докладе. В 2025 году эксперты собрали кластер из двенадцати видеокарт Nvidia GeForce RTX 5090 и протестировали его на скорость работы с хеширующей функцией bcrypt. Пароль из восьми символов, состоящий только из цифр, такая система взламывает за 15 минут. Если использовать только строчные буквы, время взлома возрастает до трёх недель. При сочетании цифр и букв взлом занимает уже 62 года. А при добавлении специальных символов подбор может занять до 164 лет.

Средний прирост производительности Nvidia GeForce RTX 5090 по сравнению с прошлогодней RTX 4090 составляет 33 %, однако при работе с паролями, содержащими цифры, заглавные и строчные буквы, а также специальные символы, ускорение достигает двукратного значения: вместо 2000 лет на взлом потребуется «всего» 1000. На практике, конечно, обе цифры остаются за пределами реальной угрозы, так что причин для паники пока нет. К тому же такой способ взлома возможен только в случае, если у злоумышленника уже есть украденная база хешей паролей. Это лишь ещё одно напоминание о том, что длинные и сложные пароли всегда безопаснее, чем бесконечные «qwerty» и «1234», лидирующие в соответствующих рейтингах из года в год.

Microsoft уже давно подталкивает пользователей Windows к отказу от использования обычных паролей для защиты своих учётных записей. Очередным шагом в этом направлении стал отказ от использования паролей при регистрации новых аккаунтов Microsoft. Теперь пользователям будут предлагать только более безопасные способы защиты учётных записей, такие как ключи доступа (passkey), push-уведомления или ключи безопасности.

Источник изображения: Unsplash

Новая инициатива Microsoft по отказу от паролей сопровождается запуском оптимизированного окна входа в систему. Разработчики изменили порядок шагов при авторизации таким образом, чтобы этот процесс был наиболее прост, когда вместо пароля используется ключ доступа. Хотя в уже зарегистрированных аккаунтах Microsoft пароли никуда не денутся, по крайней мере на данном этапе, в новых учётных записях софтверный гигант от них избавился полностью, и больше не предлагает возможность создать пароль.

«В рамках упрощения пользовательского интерфейса мы меняем свойства новых учётных записей. Теперь новые учётные записи Microsoft будут "беспарольными по умолчанию". У новых пользователей будет несколько вариантов входа в учётную запись без пароля, и им никогда не придётся вводить пароль. Существующие пользователи могут зайти в настройки учётной записи и удалить свой пароль», — говорится в сообщении Microsoft.

Этими изменения Microsoft фактически переименовывает «Всемирный день паролей» во «Всемирный день ключей доступа», обещая продолжить работы по внедрению этого нововведения в будущем. По данным компании, ежегодно регистрируется около 1 млн ключей доступа, причём успешность авторизации с ними составляет 98 %, тогда как при использовании обычных паролей всего 32 %.

Исследователи безопасности из CyberNews проанализировали 19 миллиардов паролей, попавших в сеть в следствии хакерских атак в 2024 и 2025 году, и пришли к выводу, что только 6 % являются уникальным набором символов, а остальные 94 % — это настоящая катастрофа, не отвечающая самым элементарным требованиям безопасности.

Источник изображения: AI

Как пишет TechSpot, 42 % пользователей выбирают пароли длиной 8–10 символов, а 27 % ограничиваются только цифрами и строчными буквами. Если бы не требования сервисов по количеству символов, многие использовали бы и вовсе 3–4 знака. В топе самых предсказуемых вариантов оказались «1234» (727 млн случаев), «password» (56 млн) и «admin» (53 млн). Также популярны имена, ругательства, названия городов, стран и животных.

Источник изображения: CyberNews

«Проблема не в незнании правил безопасности, а в нежелании их соблюдать, — говорят эксперты. — Создать сложный пароль легко, но запомнить его трудно, и без специальных программ держать в голове десятки надёжных комбинаций практически невозможно».

Исследователи выяснили, что люди полагаются на шаблонные варианты, которые хакеры первыми проверяют при взломе. Например, словарь для подбора паролей обязательно включает «qwerty», «iloveyou» и «123456». Такие комбинации взламываются за секунды даже без специального ПО.

Источник изображения: CyberNews

Но решение конечно имеется. Можно использовать менеджеры паролей, например, Bitwarden или 1Password, и двухфакторную аутентификацию (2FA). Однако их используют немногие. «Люди готовы рисковать данными, лишь бы не тратить лишние 30 секунд», — констатируют в CyberNews.

Сообщается, что все проанализированные данные были анонимизированы — не привязаны к конкретному логину или почте. Однако масштабы утечек показывают, если пароль простой или повторяется на нескольких сайтах, шанс взлома крайне велик.

Microsoft объявила о масштабных изменениях в системе входа в учётные записи, которые затронут более одного миллиарда пользователей по всему миру. Новый способ входа через биометрические ключи доступа (passkeys) должен снизить риск фишинга и взломов, а также сделать аутентификацию удобнее.

Источник изображения: сгенерировано AI

Согласно заявлению Microsoft, за последние годы компания внедрила ряд улучшений, включая возможность полного удаления пароля из аккаунта и поддержку входа с помощью ключей доступа (passkeys) вместо пароля. Как отмечает Windows Central, ссылаясь на слова компании, новая система пользовательского опыта (UX) оптимизирована для работы без паролей с приоритетом на ключи доступа.

Microsoft с недавнего времени активно продвигает использование ключей доступа, так как традиционные пароли уже считаются небезопасными. Этот подход поддерживают и другие технологические гиганты, такие как Apple и Google, так как он представляет из себя современный метод аутентификации, который значительно снижает риски, связанные с кражей данных.

Однако переход на passkeys — это не только способ сделать вход в учётные записи безопаснее. Microsoft вообще задумала полностью отказаться от паролей в своей экосистеме, потому что считает, что если оставить и пароль и passkeys, аккаунт всё равно останется уязвимым для фишинга.

Новое обновление, основанное на технологии биометрической аутентификации и двухфакторной проверке, призвано помочь пользователям перейти на беспарольную систему максимально комфортно, а весь процесс будет проходить интуитивно понятно и доступно для всех категорий пользователей, уверяют в Microsoft.

В целом, внедрение новой системы UX для входа в учётные записи может стать, по мнению экспертов, переломным моментом в обеспечении цифровой безопасности. И если Microsoft удастся достичь своей цели и полностью убедить людей отказаться от системы паролей, это может стать серьёзным шагом в защите пользовательских данных на глобальном уровне.

Исследователи безопасности из компании SecurityScorecard обвинили китайских хакеров в проведении массовых скоординированных атак методом распыления паролей на учетные записи Microsoft 365. Обычно распыление паролей блокируется системами безопасности, однако эта кампания нацелена на неинтерактивные входы, используемые для аутентификации между службами, которые не всегда генерируют оповещения безопасности.

Источник изображения: pexels.com

Распыление паролей — это один из методов взлома, который предполагает использование списка часто используемых паролей для массовой атаки на множество учётных записей. Такие атаки нередко бывают успешными, поскольку многие пользователи защищают свои аккаунты простыми паролями, которые несложно подобрать, например, «123456», «password» или «qwerty123». Мировой рекордсмен 2024 года среди паролей, строка «123456», был обнаружен в более чем 3 миллионах учётных записей в процессе исследования компании NordPass. Для взлома такого пароля требуется меньше секунды.

SecurityScorecard в своих обвинениях ссылаются на использование атакующими инфраструктуры, связанной с CDS Global Cloud и UCLOUD HK — организаций, имеющих операционные связи с Китаем. «Эти выводы нашей команды STRIKE Threat Intelligence подтверждают, что злоумышленники продолжают находить и использовать пробелы в процессах аутентификации, — заявил исследователь безопасности SecurityScorecard Дэвид Маунд (David Mound). — Организации не могут позволить себе предполагать, что MFA (многофакторная аутентификация) сама по себе является достаточной защитой. Понимание нюансов неинтерактивных входов имеет решающее значение для устранения этих пробелов».

Хотя распыление паролей — хорошо известная техника, эта кампания отличается своим масштабом, скрытностью и использованием критических слепых зон систем безопасности. В отличие от предыдущих атак, связанных с Solt Typhoon (Китай) и APT33 (Иран), этот ботнет, чтобы избежать обнаружения и блокировки традиционными средствами безопасности, использует неинтерактивные входы, которые применяются для аутентификации между службами и не всегда генерируют оповещения безопасности. Это позволяет злоумышленникам действовать, не активируя защиту MFA или политики условного доступа (CAP), даже в высокозащищённых средах.

Источник изображения: SecurityScorecard

Эта атака имеет последствия для многих отраслей, но организации, которые в значительной степени полагаются на Microsoft 365 для электронной почты, хранения документов и совместной работы, могут быть подвержены особому риску. Чтобы не стать жертвой кибератак, следует:

• Проверять неинтерактивные журналы входа на предмет попыток несанкционированного доступа.
• Менять учётные данные для всех аккаунтов с недавними неудачными попытками входа.
• Отключить устаревшие протоколы аутентификации.
• Отслеживать украденные учётные данные, связанные с их организацией, в журналах похитителей информации.
• Внедрить политики условного доступа, которые ограничивают неинтерактивные попытки входа в систему.

Поскольку Microsoft собирается полностью отказаться от базовой аутентификации к сентябрю 2025 года, эти атаки подчёркивают срочность перехода на более безопасные методы аутентификации, прежде чем они приобретут ещё большие масштабы.

В попытках взлома учётных записей киберпреступники всё чаще нацеливаются на менеджеры паролей — ПО этого типа является объектом для четверти всех вредоносов, сообщили эксперты по кибербезопасности из компании Picus Security.

Источник изображения: Kevin Ku / unsplash.com

Picus Security подробно изложила свои выводы в недавно выпущенном докладе Red Report 2025, основанном на глубоком анализе более миллиона вариантов вредоносных программ, собранных в прошлом году. Четверть вредоносов (25 %) предназначены для кражи учётных данных из хранилищ паролей, и это трёхкратный рост по сравнению с показателями предыдущего года. «Кража учётных впервые вошла в десятку наиболее распространённых методов в базе MITRE ATT&CK Framework. Доклад показывает, что на эти десять распространённых методов пришлись 93 % всей вредоносной активности в 2024 году», — рассказали в Picus Security.

Для кражи паролей хакеры прибегают к различным изощрённым средствам: извлекают данные из оперативной памяти и реестра, компрометируют локальные и облачные хранилища. Атаки растут в объёме и становятся сложнее, а вредоносное ПО отличается повышенной скрытностью, настойчивостью и автоматизированными механизмами работы. Большинство образцов такого ПО включает «более десятка вредоносных действий, призванных обойти защиту, повысить привилегии и извлечь данные».

Менеджеры паролей — программы, предназначенные для генерации, безопасного хранения и автоматического ввода паролей для сайтов и приложений. Они избавляют пользователя от необходимости запоминать их и считаются основой для гигиены в области кибербезопасности.

В браузере Google Chrome появилась основанная на искусственном интеллекте функция автоматической смены скомпрометированных паролей на сайтах — пока она доступна только в тестовых сборках на канале Canary.

Источник изображения: Rubaitul Azad / unsplash.com

Когда браузер обнаруживает, что пользователь пытается воспользоваться скомпрометированным паролем, он выводит предупреждение и предлагает изменить этот пароль. Если пользователь соглашается, браузер самостоятельно генерирует надёжный пароль, самостоятельно изменяет его на этом сайте и сохраняет в менеджере. Включить эту возможность можно в разделе «Экспериментальные ИИ-функции» (chrome://settings/ai) в настройках браузера.

Источник изображения: x.com/Leopeva64

Приватность обеспечивается за счёт сверки хэш-префикса на стороне пользователя; ни сами пароли, ни их полные хэши на внешние ресурсы не передаются. Алгоритмы ИИ в новой функции применяются для автоматической смены паролей на сайтах: система самостоятельно заполняет и отправляет необходимые для этого формы, и пароль меняется на новый.

Около пяти лет назад в Chrome появилась проверка компрометации паролей, которые сохранены в менеджере — она основана на поиске по базе скомпрометированных аккаунтов. Google не раскрывает размер базы данных, которую использует — в одной из известных крупных баз содержится информация о 15 млрд учётных записей.

Всё больше россиян переходит на авторизацию в интернет-сервисах без паролей, отметил ресурс Forbes. По данным VK, в 2024 году число пользователей сервисов компании, предпочитающих беспарольные способы авторизации, включая вход по одноразовому коду, QR-коду, по лицу или же отпечатку пальца, выросло год к году на 30 % до 50 млн. Это составляет порядка 40 % всей аудитории VK ID, увеличившейся за год на 10 % до 126 млн человек.

Источник изображения: Towfiqu barbhuiya/unsplash.com

Также выросло число пользователей VK ID, применяющих второй фактор авторизации — на 22 % за год, превысив 21 млн человек. Кроме того, более 20 тыс. партнёров компании интегрировали VK ID в качестве способа авторизации на сайтах и в приложениях.

Аналогичная тенденция наблюдается у «Яндекса», сообщившего, что количество пользователей, предпочитающих беспарольные способы входа через «Яндекс ID», выросло в 2024 году в 1,5 раза.

В МТС ID по умолчанию используется для входа одноразовый код из SMS, сообщили в компании. Количество зарегистрированных аккаунтов в МТС ID в 2024 году увеличилось на 20 %, превысив 120,6 млн.

Как сообщил бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий, несмотря на тренд по переходу на беспарольные способы идентификации, говорить о полном отказе от паролей не приходится, поскольку имеется немало устаревших устройств (например, банкоматы) или технологий (Wi-Fi или Bluetooth), в которых заложена возможность входа только по паролю/PIN-коду. Он также отметил, что вход по биометрии (отпечатку пальца или лицу) нельзя назвать безопасным в долгосрочной перспективе из-за риска утечки баз данных.

Руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet (Сейфнет) Игорь Бедеров считает более безопасным способом для входа двухфакторную аутентификацию. А наиболее защищённым на сегодняшний день способом он назвал приложение для аутентификации (генерирует код, который используется в дополнение к электронной почте и паролю для подтверждения личности). «Если использовать специальное приложение, то при перевыпуске SIM-карты злоумышленник не сможет получить личные данные пользователя. А взломать мобильное приложение достаточно сложно. Как раз такие приложения-аутентификаторы и должны в конечном итоге заменить классические методы, приемы двухфакторной аутентификации и подтверждения входа как наиболее надёжные», — считает эксперт.

С 29 ноября по 4 декабря «Пассворк» проводит акцию «Чёрная пятница». В эти дни будет действовать скидка 50 % на покупку лицензии, продление подписки, увеличение количества пользователей и переход на расширенную лицензию.

«Пассворк» упрощает совместную работу с корпоративными паролями, идеально вписывается в политику импортозамещения и подходит для бизнеса и госструктур — его уже используют сотни крупнейших компаний!

Почему выбирают «Пассворк»?

• Полный контроль над вашими данными. Все данные хранятся на сервере вашей компании и шифруются алгоритмом ГОСТ или AES-256 — они никогда не передаются в облако.
• Соответствие стандартам и требованиям. Пассворк включён в единый реестр российского ПО, имеет необходимые лицензии ФСТЭК и партнёрские сертификаты Astra Linux, РЕД Софт и ОС «Атлант».
• Удобство и эффективность. Сотрудники легко находят нужные пароли, а администраторы управляют доступами, отслеживают все действия и проводят аудит безопасности.

Акция «Чёрная пятница» действует с 29 ноября по 4 декабря — успейте приобрести «Пассворк» с 50 % скидкой.

Неужели кто-то ещё использует «123456» для защиты доступа к своей учётной записи? Как ни печально, эта строка цифр по-прежнему возглавляет ежегодный список наиболее используемых паролей, составленный NordPass, заслужив звание «худшего пароля в мире». Шестой ежегодный рейтинг включает список 200 самых распространённых паролей со сведениями о времени, необходимом для взлома каждого из них, и количестве учётных записей, использующих такой пароль.

Источник изображения: unsplash.com

Разработчик менеджера паролей NordPass совместно с NordStellar проанализировали базу данных паролей объёмом около 2,5 Тбайт, «извлечённую из различных общедоступных источников», в том числе из даркнета. «Мы проанализировали пароли, украденные вредоносным ПО или раскрытые в результате утечек данных. В большинстве случаев они были украдены с адресами электронной почты, что позволило нам различать корпоративные и личные учётные данные по доменному имени», — пояснили исследователи в своём блоге.

Источник изображения: nordpass.com/most-common-passwords-list

Мировой рекордсмен среди паролей, строка «123456» была обнаружена в более чем 3 миллионах учётных записей. Для взлома такого пароля требуется меньше секунды, как, собственно, и для большинства других в списке. Второе и третье места заняли «123456789» и «12345678» соответственно. Некоторые из паролей, вошедших в список, требуют больше времени для взлома — могут потребоваться минуты, часы или даже дни. Например, «g_czechout» занимает 157-е место и на его взлом понадобится 12 дней.

Независимо от требующегося для вскрытия пароля времени, использовать пароли из этого списка не следует. Это кажется очевидным, но множество людей продолжают это делать. Одна из основных причин — элементарное удобство, поскольку простой пароль запомнить легче, чем сложный. Очень часто столь примитивные пароли применяются при создании учётной записи для однократного входа на сайт, требующий регистрации.

В следующем месяце Google выпустит обновление для Android-версии Chrome, чтобы существенно улучшить работу менеджеров паролей в своём интернет-обозревателе. После его установки будет улучшена совместимость со сторонними менеджерами паролей, такими как 1Password, Dashlane и другими.

Источник изображения: AS Photograpy/Pixabay

В браузере Chrome есть собственный менеджер паролей, который можно использовать для хранения конфиденциальных данных и автозаполнения форм авторизации на сайтах. Однако в сравнении с некоторыми аналогами от сторонних разработчиков он выглядит не слишком удобным. Функция автозаполнения использует режим совместимости внутри Chrome, из-за чего использование сторонних менеджеров может приводит к зависаниям. На iOS аналогичная интеграция в Safari выглядит более удачной.

Google признаёт, что в нынешнем виде в Android-версии Chrome может возникать прерывистая прокрутка страниц и дублирование данных от собственного менеджера паролей и сторонних аналогов. «С этими предстоящими изменениями Chrome на Android позволит сторонним сервисам осуществлять автозаполнение форм, что сделает процесс взаимодействие с браузером более простым и плавным», — рассказал представитель Google.

Тестирование этого нововведения начнётся в Chrome 131 и более поздних версиях обозревателя. После выбора стороннего менеджера паролей в качестве предпочтительной службы автозаполнения потребуется активировать соответствующую опцию на странице экспериментальных функций в Chrome. Все пользователи смогут оценить нововведение 12 ноября, когда Google выпустит стабильную версию Chrome 131.

Использование сложных паролей с комбинацией различных типов символов и регулярная смена паролей признана Национальным институтом стандартов и технологий США (NIST) малоэффективной практикой, сообщает Forbes. Хакеры легко взламывают такие пароли. NIST опубликовал новые рекомендации для пользователей и компаний в рамках второго публичного документа NIST SP 800-63-4 по цифровой идентификации.

Источник изображения: Copilot

Многие годы считалось, что для надёжности пароли должны быть максимально сложными, включать заглавные и строчные буквы, цифры и специальные символы. Предполагалось, что такие пароли будет сложнее угадать или взломать с помощью специальных программ. Однако со временем эксперты пришли к выводу, что чрезмерная сложность паролей приводит к обратному эффекту.

Согласно новому руководству, NIST больше не настаивает на соблюдении строгих правил, касающихся сложности паролей, а вместо этого рекомендует делать их длиннее. Причин для этого оказалось несколько. Во-первых, как показали исследования, пользователям сложно запоминать сложные пароли, что часто приводит к тому, что они начинают использовать один и тот же пароль на разных сайтах или придумывают слишком простую комбинацию символов, лишь бы соответствовать минимальным требованиям. Примером может служить пароль вроде «P@ssw0rd123», который технически соответствует сложным условиям, но легко поддаётся угадыванию.

Во-вторых, требование менять пароли каждые 60-90 дней, которое ранее было распространённой практикой во многих организациях, также больше не рекомендуется. Это требование часто только ухудшало ситуацию, так как приводило к созданию менее надёжных паролей из-за необходимости их частой смены. NIST рекомендует отказаться от сложных паролей в пользу длинных и простых, и объясняет почему.

Сила пароля часто измеряется понятием энтропии — количеством непредсказуемой комбинации символов. Чем выше энтропия, тем сложнее злоумышленникам взломать пароль методом подбора. Хотя сложность пароля может увеличивать энтропию, длина пароля на основе простых символов, как выяснилось, играет гораздо более важную роль.

NIST предлагает использовать длинные пароли, которые легко запомнить, в частности, фразы из нескольких простых слов. Например, пароль в форме фразы «bigdogsmallratfastcatpurplehatjellobat» будет как безопасным, так и удобным для пользователя, хорошо знающим английский язык. Такой пароль сочетает в себе высокую энтропию и лёгкость использования, что помогает избежать небезопасных привычек, таких как записывание паролей или повторное их использование.

Хотя современные технологии значительно упростили взлом коротких, но сложных паролей, тем не менее даже самые продвинутые алгоритмы сталкиваются с трудностями при попытке взлома длинных паролей из-за огромного числа возможных комбинаций. В качестве недавнего примера можно привести изменение пароля мэра Нью-Йорка Эрика Адамса (Eric Adams). Он заменил свой четырёхзначный код на шестизначный на личном смартфоне перед тем, как передать его правоохранительным органам. Это изменение увеличило количество возможных комбинаций подбора символов с 10 тысяч до 1 миллиона.

На сегодняшний день NIST рекомендует компаниям разрешить пользователям создавать пароли длиной до 64 символов. Такой длинный пароль, даже если он состоит только из строчных букв и знакомых слов, будет чрезвычайно сложен для взлома. А если добавить к нему заглавные буквы и символы, взлом такого пароля станет практически невозможным. Таким образом, в новых рекомендациях NIST сделал акцент на длину пароля как на главный фактор его безопасности.

Компания Google представила безопасную синхронизацию ключей доступа (passkeys) с расширенной поддержкой различных платформ. Помимо устройств Android теперь можно сохранять ключи доступа в Google Password Manager из Windows, macOS, Linux и Android с помощью PIN-кода.

Источник изображения: Copilot

Одним из главных нововведений, пишет The Verge, стала упрощённая синхронизация ключей доступа между различными устройствами. Ранее для их использования на других платформах требовалось сканирование QR-кода. Теперь этот процесс заменён вводом PIN-кода, что должно значительно упростить сохранение и использование паролей на устройствах, отличных от Android.

«Сегодня мы выпускаем обновления, которые ещё больше упростят использование ключей доступа на ваших устройствах. Теперь вы можете сохранять их в Google Password Manager из Windows, macOS, Linux и Android, а также ChromeOS в бета-версии. После сохранения ключи доступа автоматически синхронизируются на всех устройствах, что делает вход в систему таким же простым, как сканирование отпечатка пальца», — говорится в блоге Google.

Источник изображения: Google

Новый PIN-код не только делает процесс аутентификации более удобным, но и сохраняет высокий уровень безопасности. Ключи доступа по-прежнему защищены сквозным шифрованием, что гарантирует их недоступность даже для Google. Чтобы их использовать на новом устройстве пользователю достаточно будет разблокировать экран своего Android-устройства или ввести PIN-код для Google Password Manager.

Ожидается, что технология PIN-кодов позволит забыть о сложных паролях и сосредоточиться на более простых, но безопасных методах аутентификации. В компании отмечают, что уже с сегодняшнего дня можно создавать пароли для популярных сайтов и приложений, таких как Google, Amazon, PayPal и WhatsApp, так как Google Password Manager встроен в устройства Chrome и Android.