Skip to content
// ЛОГ ОПЕРАТОРА · ЗАПИСЬ 401 · МИССИЯ 04 · БРИФИНГ 01 ИЗ 06 · EST 7 МИН

Как пароли реально утекают

Твой пароль уже снаружи#

Если ты пользуешься интернетом больше пяти лет — статистически хотя бы один твой пароль уже засветился в публичной утечке. Это не паранойя, это арифметика. К 2025 году в поисковых базах лежит около 12 миллиардов пар «логин-пароль».

Когда понимаешь, как они туда попадают, защитные действия становятся очевидными.

Цепочка поставок утёкшего пароля#

Пароль почти никогда не утекает потому, что ты ошибся. Он утекает, потому что ошиблась компания, которая его хранила. Обычный путь:

  1. Взлом базы. Атакующий использует уязвимость в сайте или бэкенде сервиса (SQL-инъекция, открытая админка, неверно настроенное облако, инсайдер).
  2. Выгрузка хэшей. Уходит таблица пар (email, хэш-пароля). Иногда — всё реже, но бывает — пароли хранятся открытым текстом.
  3. Подбор. Даже хэшированные пароли ломаются офлайн. Короткие и популярные падают за секунды на современных GPU.
  4. Перепродажа на криминальных площадках. Расшифрованные пары продаются пачками на даркнет-форумах и в Telegram-каналах. Цены упали до символических: миллион пар — несколько долларов.
  5. Credential stuffing. Покупатели прогоняют эти пары по сотням других сайтов — банк, почта, рабочий портал. Поскольку большинство людей переиспользуют пароли, одна утечка из маленького сервиса компрометирует аккаунты везде.

Два режима отказа, которые контролируешь ты#

Ты не можешь помешать сервису быть взломанным. Но ты можешь сделать так, чтобы шаг «credential stuffing» не сработал:

  • Переиспользование. Если пароль уникален для одного сайта — утечка с этого сайта ни до чего другого не доберётся.
  • Сила. Если пароль длинный и случайный — даже офлайн-подбор займёт годы. Атакующий уйдёт к более лёгким целям.

Оба пункта по сути решаются менеджером паролей.

Проверь себя#

  • haveibeenpwned.com — введи email; сервис покажет все утечки, в которых он засветился, за десятилетие.
  • Pwned Passwords (тот же сайт) — введи пароль; покажет, в скольких дампах он засветился. Да, твой любимый пароль почти наверняка уже в десятке.
  • Большинство современных менеджеров паролей делают эту проверку автоматически по твоему хранилищу и помечают переиспользованные и засвеченные записи.

Если твой email засветился в утечке: сам email уже не поменять, но можешь быть уверен — на этот адрес пойдёт волна фишинга. Ожидай больше писем и смотри внимательнее.