Nutekėjo 1,3 mlrd. slaptažodžių: patikrinkite saviškius ir pereikite prie saugesnių sprendimų

Per naujausią mega-nutekinimą viešumoje atsidūrė 1,3 mlrd. unikalių slaptažodžių. Tai reiškia vieną: metas skubiai peržiūrėti visų paskyrų apsaugą – nuo „Google“, „Microsoft“ ir „Apple“ iki „Facebook“ bei „Amazon“. Tuo pat metu „Comparitech“ pateikė 2025 m. dažniausiai naudojamų (ir lengviausiai nulaužiamų) slaptažodžių analizę: vaizdas slogus – trumpi, šabloniniai deriniai vis dar karaliauja.

Kas paaiškėjo iš naujausios analizės

• Didelė dalis nutekėjusių slaptažodžių tebėra trumpi ir prognozuojami: dauguma turi <12 simbolių, o tik menka dalis – ≥16 simbolių.
• Įprasti „klasikiniai“ deriniai („123456“, „password“, „admin“, trumpos skaičių sekos) vis dar sudaro reikšmingą dalį realiai naudojamų slaptažodžių.
• „Ženklų pridėjimas dėl tvarkos“ („Password1“, „Labas1!“) nepadaro slaptažodžio saugaus – automatizuotos atakos tokius šablonus „perlaužia“ akimirksniu.

Greitas realybės testas: jei jūsų slaptažodį būtų galima atspėti per minutę bandant dažniausius šablonus ar žodyno variantus – jis nesaugus.

10 pavyzdžių, kurie turi išnykti iš jūsų paskyrų

Jei turite bent vieną iš žemiau esančių „giminaičių“, keiskite dabar:

1. 123456
2. 12345678
3. 123456789
4. admin
5. 1234
6. Aa123456
7. 12345
8. password
9. 123
10. 1234567890

Visas „blogiausių slaptažodžių“ šimtukas lengvai randamas viešuose sąrašuose – programišiams jis taip pat po ranka.

Ką daryti šiandien: 5 žingsnių planas (15–20 min.)

1. Identiškų slaptažodžių inventorius. Peržvelkite svarbiausias paskyras (el. paštas, bankas, debesys). Jei kur nors kartojasi tas pats slaptažodis – išskirstykite.
2. Ilgis > „mandrybės“. Kurkite ≥14–16 simbolių slaptažodžius ar slaptafrazes (keleto žodžių junginius su tarpais/ženklų intarpais).
3. Slaptažodžių tvarkyklė. Įsidiekite patikimą managerį (naudokite unikalius slaptažodžius, sinchronizaciją ir pažeidimų patikrą).
4. MFA be SMS. Įjunkite daugiafaktorę autentifikaciją su programėle (TOTP) ar fiziniu raktu (FIDO2). SMS palikite tik kraštutiniu atveju.
5. Perėjimas prie raktų (Passkeys). Kur įmanoma, įjunkite prieigos raktus – jie pakeičia slaptažodį ir iš esmės neutralizuoja phishingą.

Kaip atrodo stiprus slaptažodis (praktinis šablonas)

• Slaptafrazė iš 3–4 nesusijusių žodžių + tarpai/taškeliai:
  pelėda.mėlynas_krantas citrus!laivas
• Sugeneruotas per tvarkyklę: 18–24 simboliai, su raidėmis, skaičiais ir ženklais, be žodyno žodžių.

Svarbu: nenaudokite asmeninių detalių (vardo, gimtadienio, adreso), popkultūros klišių, sporto klubų pavadinimų ar klaviatūros sekų (qwerty, 1q2w3e…).

Kodėl vien slaptažodžio neužtenka

• Phishingas: net „tobulas“ slaptažodis nutekės, jei jį suvesite netikrame puslapyje.
• „Credential stuffing“: jei viename nutekėjime pavogtas el. paštas + slaptažodis, jie masiškai bandomi kituose puslapiuose.
• Malware: klaviatūros registratoriai ir naršyklės išplėtimai gali slaptažodžius nuskaityti tiesiai iš įrenginio.

Gynyba: MFA + passkeys + tvarkyklė + naršyklės įspėjimų nepaisymo nulis.

Darbo paskyroms – dar griežčiau

Asmeninės klaidos darbe kelia riziką visai organizacijai: paštas, debesys, projektų įrankiai, VDI – viskas susieta.

• Privaloma: MFA be SMS, prieigos raktai svarbiausioms paskyroms, teisės pagal mažiausią būtinumą, reguliarus slaptažodžių pažeidimų skenavimas.
• Venkite: bendrų paskyrų ir slaptažodžių dalijimosi per el. paštą/„Excel“.

Greita patikra: ar jūsų slaptažodžiai jau nutekėjo?

• Pasinaudokite duomenų pažeidimų tikrintuvais (naršyklėje ar slaptažodžių tvarkyklėje).
• Jei randate sutapimų – nedelsiant keiskite slaptažodį ir įjunkite MFA.
• Patikrinkite, ar ta paskyra nenaudoja tų pačių prisijungimų kitur.

Esmė

Trumpi, šabloniniai slaptažodžiai – praeitis, kuri nuolat grįžta bumerangu. Šiandien saugumo standartas yra: ilgos slaptafrazės + MFA (be SMS) + passkeys + tvarkyklė. 15 minučių peržiūra dabar – ir ramiau miega tiek jūsų asmeninės, tiek darbo paskyros.