800 миллионов украденных паролей. Один из них — ваш. Угадайте, какой.

Пора признать: эпоха паролей подходит к концу. Не потому, что кто-то решил так сверху — а потому, что всё разваливается снизу. Современные хакеры не тратят время на сложные взломы и не пишут эпичные эксплойты — они просто входят. С логином. И паролем. Вашим.

Звучит абсурдно, но это уже реальность. Всё больше атак строится не на взломе, а на банальном использовании украденных данных. Вы можете быть уверены в своей цифровой безопасности, но в это же время ваш пароль может лежать в даркнете — в одной из миллионов баз, сливающихся в сеть ежедневно. И его могут купить. Или скачать бесплатно.

Главный виновник — вредоносные программы типа infostealer. Эти штуки крадут логины и пароли прямо с заражённых устройств: браузеры, куки , сессии, автозаполнения — всё, что вы так удобно хранили, чтобы не вспоминать по сто раз. По свежему отчёту IBM X-Force, количество infostealer-атак за последний год выросло на 84%, а только в начале 2025 года этот показатель уже подпрыгнул на 180% по сравнению с аналогичным периодом 2023-го. То есть буквально лавина.

Infostealer’ы рассылаются через фишинг, поддельные объявления в Google, заражённые сайты и даже через взломанные цепочки поставок. Вы могли и не заметить — просто кликнули не туда. И вот уже ваши пароли на продажу. В даркнете сейчас активны около 8 миллионов объявлений, где продаются списки украденных учётных данных. Общий объём — минимум 800 миллионов логинов и паролей. И это только то, что удалось отследить.

Вы можете думать: ладно, у меня есть двухфакторная аутентификация, я в безопасности. Увы. Хакеры научились обходить и её — через атаки «посредник в середине» и кражу сессионных cookie. Это как если бы вы позвонили в банк, а вместо сотрудника с вами говорил злоумышленник, при этом банк был уверен, что всё в порядке.

Что же делать? Выбросить пароли. Серьёзно. Всё чаще в ИТ-среде звучит одно слово: passkey — это ключи доступа, которые работают без паролей вообще. Google и Microsoft официально советуют переходить на них, причём как можно скорее. И не только для аккаунтов, но и для всего, что касается цифровой идентификации.

Как это работает? Каждый passkey — это пара ключей: публичный и приватный. Один хранится на сервере, другой — на вашем устройстве. Когда вы пытаетесь войти в сервис, система посылает вызов, на который может ответить только ваш приватный ключ. Он никогда не передаётся, не копируется, не всплывает в браузере. Он просто лежит в вашем смартфоне или ноутбуке и срабатывает по биометрии — например, по отпечатку пальца или Face ID.

Такая система делает невозможными атаки типа «подглядел — ввёл пароль». Тут ничего не видно и не вводится. А значит — нечего красть. Более того, passkey автоматически синхронизируются между вашими устройствами через Apple iCloud или, например, через 1Password. Даже если вы потеряете смартфон — восстановить доступ можно на другом устройстве, просто авторизовавшись в аккаунте.

Это не какая-то экспериментальная штука. Это уже активно разворачивающаяся реальность. Ключи доступа — это не просто удобство. Это единственный способ обороняться в мире, где пароли давно перестали быть секретом..