Пароль #Зима2026 не подходит, или Пять фактов о парольной политике в копилку CISO

Пароль #Зима2026 не подходит, или Пять фактов о парольной политике в копилку CISO

Как давно я менял свои пароли? Какая длина у моего действующего пароля в символах? А мой мнемонический пароль достаточно сложный или его легко подобрать по словарю?

Эти и другие вопросы про информационную безопасность (ИБ) регулярно возникают в голове не только у профессионального безопасника (CISO), но и у обычного пользователя ИТ-системы, когда он читает сообщение о массовой утечке паролей в СМИ или в интернете. Но вскоре эти вопросы как-то забываются, оставшись без фактического ответа, тема или контекст быстро меняются, и «правильно-тревожным» вопросам на смену приходит расслабляющая комфортная мысль: «Меня-то эта информация об утечке, в общем-то, и не касается», «мои-то три пароля в безопасности», «спокойно, всё нормально, идём дальше, пароли — это не самое важное сейчас». Знакомо?

ДО АРГУМЕНТОВ И ФАКТОВ

Спешу разочаровать и отвечу сразу на все вопросы, прежде чем аргументировать и познакомить с фактами.

1. [если вы используете «популярные» пароли — прим. ред.] Ваши пароли не уникальные, они уже кем-то когда-то скомпрометированы: пароли/хеши уже есть в базе злоумышленников — дело остаётся за малым, эти пароли кому-то как-то в «правильное время» и в «правильное место» достаточно просто ввести.

К сожалению, вся безопасность на основе паролей сохраняется только потому, что злоумышленники с вашими паролями не успели пока их ввести в целевом интерфейсе для доступа к защищаемой системе от вашего имени.

2. Ваши пароли, сами по себе, создают только иллюзию того, что чувствительная информация находится в безопасности, поскольку уровень реальной угрозы не зависит от длины, сложности или уникальности пароля [если понадобится, любой пароль подберут за какое-то время, но чем это время больше, тем лучше, поэтому рекомендуем использовать сложные пароли в соответствии с рекомендациями ФСТЭК — прим. ред.].

Строить защиту по классическим канонам и рассчитывать только на стойкие пароли в 2026 году ошибочно и НЕбезопасно. Пароль без дополнительных компенсирующих мер и факторов уже не обеспечивает полноценную защиту.

3. Если вы регулярно изменяете свой пароль по созданному мнемоническому принципу (схеме), то злоумышленникам не нужно знать каждый ваш пароль, а достаточно просто узнать и применить используемую схему, получив доступ к нескольким ранее созданным по этой схеме и украденным «кем-то где-то» паролям.

Не рассчитывайте на глупость или ограниченность злоумышленников: вы удивитесь, каких высот уже достигли навыки и смекалка хакеров при наличии технической базы и неограниченного времени.

ЛЮБОПЫТНЫЕ ФАКТЫ

Приведу лишь несколько показавшихся мне любопытными актуальных фактов про пароли.

Факт №1. Современные пользователи — граждане РФ — НЕ меняют свои удобные пароли годами. Средний «срок жизни» одного пароля у пользователя составляет 3,5–4 года.

Факт №2. Каждый второй украденный в 2025 году пароль НЕ уникальный. Более половины (54%) паролей/хешей, обнаруженных в утечках 2024–2025 годов, выявлены «не первый раз», то есть были обнаружены исследователями повторно в darknet’е.

Факт №3. В топ‑10 самых популярных паролей, скомпрометированных у RU-пользователей в 2025 году, вошли: 123456, 12345678, 123456789, admin, 1234, Aa123456, 12345, password, 123, 1234567890. При этом четверть самых популярных утёкших паролей состоит только из цифр, а порядка 40% представляют собой простые последовательности (клавиатурные змейки или рядом стоящие символы).

Факт №4. По состоянию на январь 2026 года в базе данных международного проекта haveibeenpwned накоплено более 17,3 миллиарда паролей/хешей от скомпрометированных пользовательских учётных записей (далее — УЗ).

База данных агрегатора утечек haveibeenpwned ежедневно пополняется новыми паролями. Только за первые две недели января 2026 года на сайте появилась информация о таких громких утечках, как французская социальная программа Pass’Sport — 6,4 миллиона УЗ с паролями, одна из запрещённых на территории РФ социальных сетей — 6,2 миллиона хешей паролей попали в darknet, сайт знакомств для граждан Евросоюза WhiteDate — 6,1 тысячи УЗ утекли.

Факт №5. Стойкость выбранного пароля перестала характеризовать уровень безопасности подсистемы аутентификации в целевой системе. Результаты проведённого ИБ-исследователями в 2024 году эксперимента по прямому взлому хешей от 200 миллионов паролей неутешительны: 45% (то есть 87 миллионов хешей паролей) могут быть взломаны современными процессорами с помощью «умных алгоритмов» на быстрой видеокарте менее чем за минуту, и только четверть можно считать стойкими — их взлом займёт более года.

ЗАДУМАЙТЕСЬ!

Задумайтесь: классические парольные политики в российских организациях, субъектах КИИ, уже два года как стоило бы пересмотреть и скорректировать в части установления обязательных пороговых/минимально допустимых значений, например, вот так:

• минимальная длина нового выбранного пароля — 12 символов;
• обязательный алфавит: большие и маленькие буквы, цифры, специальные символы;
• максимальный срок действия пароля: от 50 до 100 дней;
• минимальное время, прошедшее между двумя фактами смены пароля: 7 дней;
• количество отличающихся символов в новом пароле: 4;
• количество различных паролей в цепочке фактов обновления паролей: 10;
• количество неудачных попыток ввода пароля перед блокировкой УЗ на 2 минуты: 5.

В стойком пароле не должны использоваться даты, имена, фамилии, названия месяцев, времён года, а также популярные клавиатурные змейки и легко подбираемые последовательности.

У читателя мог остаться неотвеченным вопрос, почему так важно именно в 2026 году обновить и соблюдать парольную политику и чем зима 2026 года отличается от такой же зимы, но годом ранее, в плане ИБ для субъекта КИИ? И здесь я обращаю внимание CISO на официальную позицию ФСТЭК РФ о важности соблюдения каждым пользователем парольной политики в организации, нашедшую своё отражение в Методике анализа защищённости информационных систем (далее — Методика), утверждена ФСТЭК РФ 25 ноября 2025 года.

Методика определяет порядок проведения и содержание работ в ходе испытаний систем защиты информации выбранного объекта. Целью подобных работ является выявление уязвимостей и оценка возможности их использования нарушителем при реализации угроз кибербезопасности. В 10+ пунктах Методики в совершенно разных по сути разделах: СИН.3, УСИ.3, ОПС.1.1–1.5, СУБД. 1.1–1.3,1.14, СВИ. 1.1 в явном виде присутствуют указания по проверке у субъекта КИИ факта наличия, актуальности, настройки и выполнения базовых требований парольной политики.

Две ключевые метрики, а именно: «отсутствие у субъекта КИИ в АС учётных записей с паролем, сложность которого не соответствует установленным требованиям к парольной политике» и «отсутствие у субъекта КИИ в АС учётных записей разработчиков и/или технических/сервисных учётных записей с паролями, установленными ими по умолчанию» используются при расчёте итогового показателя защищённости. Таким образом, подтверждение факта невыполнения субъектом КИИ требований собственной парольной политики (достаточно одной УЗ или одного подтверждённого факта нарушения в одной АС в периметре проверки) влечёт снижение итогового значения показателя защищённости сразу на 12,5%. Много это или мало — субъективный момент на фоне других возможно допущенных нарушений. Да, и относиться к этому «комплаенс-показателю» со стороны CISO можно по-разному. Но факт того, что ФСТЭК в конце 2025 года формализовал в документе (Методике) подход к проведению проверок и определил алгоритм расчёта метрических показателей (кстати, такого расчёта ещё не было зимой 2025 года), говорит о намерении и готовности регулятора к проведению как выездных, так и камеральных проверок у субъектов КИИ в ближайшем будущем.

В своём выступлении 18.11.2025 на SOC Forum начальник Управления ФСТЭК РФ Е. Б. Торбенко отметила увеличение административных дел в 2025 году по результатам проведённых государственных контрольных мероприятий в отношении субъектов, допустивших типовые нарушения при организации защиты объектов КИИ. Более 1100 нарушений выявлено суммарно за неполные 10 месяцев 2025 года. Наряду с нарушениями в процессе категорирования объектов КИИ, к типовым нарушениям представитель ФСТЭК относит в том числе вопросы, связанные с нарушениями субъектами КИИ собственных парольных политик (слабые/нестойкие/статичные и пароли по умолчанию), повлёкшие реализацию компьютерных инцидентов.

«… Специалисты по безопасности — это физические тела. Да, ну, это тело! А по закону физики любое тело стремится к покою…» — обратилась Е. Б. Торбенко к CISO, говоря о зоне комфорта. «Ваша задача — заставить, запинать своих специалистов выполнить ваши требования!» — так эмоционально она обозначила основные задачи CISO по выполнению обновлённых требований ФСТЭК внутри субъекта КИИ.

Внимательный CISO может в этом месте задать вопрос: ИБ-комплаенс, позиция ФСТЭК, показатели защищённости из Методики, субъекты КИИ и теоретические компьютерные инциденты — это всё прекрасно и замечательно. Но как насчёт безопасности на местах и реальных кейсов? Может быть, есть какой-то практический совет как «рыбак рыбаку»?

СЦЕНАРИЙ ОДНОГО ЭКСПЕРИМЕНТА ДЛЯ CISO

Как проверить, что привилегированные пользователи (ИТ- и ИБ-администраторы, руководители высшего звена и их помощники/советники/секретари) выполняют/НЕ выполняют требования установленной парольной политики в вашей организации, признавшей себя субъектом КИИ?

Подойдите на рабочее место привилегированного пользователя и попросите его при вас ввести свой действующий пароль для доступа в операционную систему, в электронную почту и/или к интерфейсу администрирования сервера, а также к любой известной эксплуатируемой в вашей компании децентрализованной системе. Да, это будет инцидентом ИБ и фактом явной компрометации паролей. Ничего страшного, поскольку этот эксперимент происходит под вашим непосредственным контролем как CISO.

Затем попросите пользователей устно перечислить вам основные требования утверждённой парольной политики в компании и порекомендуйте ему сменить свои пароли на новые в соответствии с этими требованиями. Для «чистоты эксперимента» повторите этот сценарий несколько раз с типичными представителями разных подкатегорий пользователей в вашей организации и с позиции CISO оцените полученные результаты.

Таким образом вы сможете удостовериться/получите дополнительные факты и примеры, подтверждающие, что:

1. В вашей организации действует (не действует) утверждённая парольная политика и пользователи (в том числе привилегированные) ознакомлены (не ознакомлены), применяют (не применяют) её базовые требования;
2. Привилегированные пользователи соблюдают (нарушают) требования утверждённой парольной политики при доступе к централизованным/не централизованным автоматизированным системам;
3. Учётные записи привилегированных пользователей (и в целом система безопасности, основанная на стойкости паролей) являются/не являются в настоящее время точкой потенциальной компрометации и/или каналом проникновения злоумышленников внутрь защищаемого периметра.

[Платная альтернатива эксперименту — настроить парольную политику и заказать услугу по проверке качества всех паролей организации — прим. ред.].

ВМЕСТО ЗАКЛЮЧЕНИЯ

При формулировании и реализации требований парольной политики у субъекта КИИ важно помнить о сложно достижимом балансе: с одной стороны, CISO нужно обеспечить необходимый и достаточный уровень защищённости объектов КИИ, а с другой — попытаться избежать избыточных неудобств для пользователей, применяющих пароли при доступе в системы. Внедрение негибкой парольной политики может вызвать обратный эффект: пользователи, в том числе привилегированные, будут стремиться всеми силами обойти установленные парольные ограничения, что, в свою очередь, приведёт к новым компьютерным инцидентам.

В качестве завершающей рекомендации обращаю внимание читателя на такие технологические, частично компенсирующие парольные уязвимости инструменты, как:

• системы для безопасного хранения, управления и перегенерации уникальных паролей;
• технологии двухфакторной/мультифакторной аутентификации, как дополнительный к базовому паролю уровень защиты (контактный/бесконтактный токен, биометрия, SMS/PUSH) [уровень аутентификации должен соответствовать уровню доверия информационной системы, см. статью С. Груздева «Аутентификация. От паролей к адаптивной МФА», c. 12–19 № 3 (58) за 2025 г. «Информационная безопасность бизнеса» (BIS Journal) — прим. ред.];
• обновлённые/дополнительные алгоритмы хеширования и использование «соли» при хранении паролей на серверах/при вынужденной передаче чувствительных данных вовне (для целей миграции, интеграции, тестирования и пр.).