Исследователи «Лаборатории Касперского» исследовали 231 млн уникальных паролей, попавших в утечки в даркнете за период с 2023 по 2026 год. Результаты показали, что 48% паролей можно взломать при помощи GeForce RTX 5090 менее чем за минуту, а 60% — менее чем за час.
GeForce RTX 5090 использовали для тестирования стойкости паролей, защищенных алгоритмом MD5. По сравнению с RTX 4090 новая карта ускорила перебор до 220 гигахэшей в секунду против 164 гигахэшей в секунду у предшественницы, то есть примерно на 34%. Это означает, что современные GPU делают массовый подбор украденных хэшей еще быстрее, а значит, и слабые пароли ломаются заметно легче.
По словам исследователей, злоумышленникам уже не нужно владеть такой видеокартой лично: вычислительные мощности можно арендовать в облаке за сравнительно небольшие деньги. Поэтому даже несколько часов работы GPU достаточно, чтобы проверить огромные базы утекших паролей и подобрать значительную их часть. Чем слабее пароль, тем быстрее он попадает в категорию «сломанных».
Сами пароли, как выяснилось, чаще всего оказываются уязвимыми не из-за «хитрого» взлома, а из-за банальной человеческой предсказуемости. Большая часть слабых паролей — это короткие комбинации, словарные слова, простые шаблоны вроде слово + цифра + спецсимвол и повторяющиеся последовательности. Исследователи отдельно выделяют несколько типичных паттернов:
- цифры в конце пароля — так сделаны более половины паролей;
- цифры в начале встречаются почти в каждом шестом;
- годы и даты — очень распространенный элемент: каждый восьмой пароль содержит последовательности, похожие на год, а каждый десятый — числа из диапазона примерно с 1990 по 2026;
- простые комбинации вроде 1234 и цепочки клавиш типа qwerty остаются одними из самых популярных;
- среди спецсимволов чаще всего встречается @, затем идут . и !;
- среди «словесных» добавок часто встречаются love, angel, team, mate, life, star и даже мемные слова вроде Skibidy.
Исследование также показывает, что многие пользователи годами не меняют пароли: 54% паролей, найденных в новых утечках, уже всплывали ранее. Это говорит не только о повторном использовании, но и о том, что люди продолжают опираться на старые, давно известные злоумышленникам схемы.
Авторы работы рекомендуют переходить на менеджеры паролей, создавать длинные уникальные пароли для каждого сайта, включать двухфакторную аутентификацию и, где возможно, использовать ключи доступа (passkeys) вместо обычных паролей.
