Начнем с аксиомы: невзламываемых паролей не бывает. Любой пароль можно взломать. Вопрос времени и ресурсов. Простые пароли вскрываются моментально, а сложные — дольше, с плясками и бубном.
Говорят, что с выходом квантовых вычислений в широкий доступ, взлом самого сложного пароля будет занимать доли секунды. Ну, а пока квантовые хакеры Шредингера не взломали мой пароль от переписки с тещей, посмотрим, стоит ли перейти на пароль 12345 или заморочиться чем-то посильнее, не вдаваясь в криптографию как в науку.
Как наши пароли утекают в чужие лапы? Основные пути:
Довольно часто рекомендуется использовать менеджеры паролей. Действительно, крупных успешных атак на сами сервисы менеджеров паролей (с компрометацией хранилищ паролей или master-паролей пользователей) в 2025–2026 годах не зафиксировано
В 2025–2026 годах не было ни одного подтверждённого инцидента, при котором злоумышленники получили бы доступ к незашифрованным vault’ам или master-ключами пользователей у крупных провайдеров (LastPass, Bitwarden, 1Password, Keeper, Dashlane и т.д.)
1. Фишинговые кампании против пользователей (самая распространённая угроза):
• Январь 2026: LastPass официально предупредил о массовой фишинговой рассылке с темами «Maintenance in progress — backup your vault in 24 hours». Письма вели на поддельные страницы входа. LastPass подчёркивает, что это не связано с их системами;
• Октябрь 2025: Аналогичные фейковые «breach alert» от имени LastPass, Bitwarden и 1Password (с предложением скачать «новую безопасную версию» → malware);
• Март–октябрь 2025: Целевые фишинги на 1Password с текстом «Your account has been compromised — reset master password».
2. Клиентские уязвимости (browser extensions):
• Август 2025: Исследователь Marek Tóth раскрыл DOM-based clickjacking в расширениях 1Password, Bitwarden, LastPass, Enpass, iCloud Passwords, LogMeOnce и KeePassXC-Browser. Атака позволяла скрытно заставить пользователя автозаполнить данные на вредоносной странице. Большинство вендоров выпустили патчи к концу августа–сентября 2025 (Bitwarden — в 2025.8.2). Уязвимость требовала, чтобы расширение было разблокировано и пользователь взаимодействовал с вредоносной страницей.
3. Последствия старого инцидента LastPass (2022):
• Декабрь 2025: ICO (Великобритания) оштрафовала LastPass UK Ltd на £1,2 млн за недостаточные меры защиты в 2022 году (утекли данные 1,6 млн британских пользователей);
• В течении 2025 год продолжались кражи криптовалюты (~$35 млн по данным TRM Labs) на основе взломанных vault’ов 2022 года (слабые master-пароли + отсутствие MFA).
4. Мелкие CVE и другие инциденты:
• Bitwarden: CVE-2025-5138 (XSS в PDF-обработчике, май 2025) — не критичная;
• 1Password: косвенное влияние через Okta-брешь (старое), фишинг 2025;
• Общие 16 млрд утечек паролей (июнь 2025) — это не утечка из менеджеров, а агрегированные данные из infostealer’ов.
Таким образом, слабый мастер-пароль — это вопрос именно слабого пароля со стороны пользователя.Есть такой параметр как криптостойкость. Это то, насколько сложно взломать твой пароль.Чем он длиннее, чем больше в нем специальных символов, — тем выше криптостойкость. Таким образом, чем пароль длиннее, чем больше в нем специальных знаков, — тем сложнее его взломать или восстановить из хэша. Этот же подход применим и к мастер-паролям.
Как же создать уникальный пароль с высокой криптостойкостью так, чтобы его не забыть и не испытывать проблем с его хранением и доступностью?
Один из методов — использование кириллических текстов, которые повышают энтропию пароля, делая атаки brute-force более сложными, почти невыполнимыми из-за ограничений самих брут-форс систем.
Некоторые системы или старые устройства могут не полностью поддерживать ввод non-ASCII, приводя к проблемам с входом. Кроме того, омоглифы (визуально похожие символы из разных алфавитов) могут вызвать путаницу. Поэтому, хорошо комбинировать кириллицу с другими типами символов для усиления, при этом отдавая приоритет запоминаемости. Кроме того, при использовании кириллицы, неплохо бы иметь резервный метод восстановления, такой как фраза восстановления, чтобы избежать постоянной блокировки.
Разберем несколько менеджеров паролей, которые поддерживают Unicode:
• Bitwarden (UTF-8). Поддерживает 1 114 112 символов, включая кириллицу; исключения для управляющих символов. Тестируйте на всех устройствах, чтобы избежать проблем ввода.
• LastPass. Поощряет нелатинские/иностранные символы и эмодзи для энтропии; нет явных ограничений, но соблюдайте минимум 12 символов.
• 1Password. Обрабатывает пароли через нормализацию NFKD; поддерживает Unicode, но предупреждает об омоглифах (например, латинская ‘a’ vs. кириллическая ‘а’) из-за рисков путаницы.
Таким образом, мы можем использовать (хоть и с ограничениями) кириллические пароли в работе с менеджерами паролей. То же касается и онлайн-сервисов и учетных записей.
Считается, что такого рода информацию не стоит хранить на локальной машине или в облаке. Таким образом, пароли лучше всего или запоминать, или записывать на бумаге.
Что делать, если бумаги под рукой нету, а нужен длинный уникальный пароль, который сложно запомнить?
Можно использовать стихи, которые ты знаешь с детства и которые ты точно знаешь как пишутся.
Например: Я из лесу вышел; был сильный мороз. Гляжу — поднимается медленно в гору Лошадка, везущая хворосту воз.
Пароль достаточно длинный. кириллический, что повышает его энтропию до ~ log2(10^5)^20 ≈ 332 бита. Но из-за того, что это — цитата из литературы, энтропия падает: атакующий может использовать базы известных фраз (e.g., из Википедии или книг), снижая до 50-100 бит.
Инструменты вроде zxcvbn (используемый Bitwarden) оценили бы это как «очень сильный» по длине, но с минусом за паттерны; Kaspersky Password Checker поддерживает Unicode и показал бы время взлома в «века».
Если «разбавить» эту фразу символами цифр или вместо пробелов использовать специальные символы в запоминаемой последовательности, то криптостойкость такого пароля растет на порядки.
ссылка на оригинал статьи https://habr.com/ru/articles/1048180/