Илья Шелыгин

Илья Шелыгин

Главный редактор, аналитик по информационной безопасности

Илья пишет об управлении доступом и корпоративной безопасности. Специализируется на практических подходах к защите учётных данных: от политик парольной безопасности до разграничения прав в корпоративной инфраструктуре. Помогает ИТ-командам выстраивать надёжные процессы информационной безопасности и находить решения, которые работают в реальных условиях.
8 июля 2026 г.
Что такое сертификация ФСТЭК?
Сертификация ФСТЭК — процедура подтверждения соответствия средства защиты информации (СЗИ) требованиям безопасности, установленным Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

Сертификат ФСТЭК — обязательное условие для легального применения средств защиты информации в государственных системах, при обработке персональных данных и на объектах критической информационной инфраструктуры (КИИ). Без него продукт нельзя включить в проект аттестации, использовать в тендерной документации или поставить госзаказчику.

Для разработчиков СЗИ сертификат открывает доступ к рынку: без него участие в госзакупках закрыто, а крупные корпоративные и государственные заказчики просто не будут серьёзно рассматривать продукт. Для организаций сертификат определяет, какие СЗИ можно легально применять в конкретном классе системы.

В статье разбираем: кому и зачем нужна сертификация, как устроена процедура, как выбрать нужный уровень доверия и что происходит после получения сертификата.


Главное

  • Сертификация ФСТЭК обязательна для защищаемых систем. СЗИ без сертификата нельзя легально применять в государственных информационных системах, информационных системах персональных данных и на значимых объектах КИИ.
  • Сертифицируется конкретная версия продукта. Изменение кода или конфигурации требует повторного прохождения испытаний или инспекционного контроля.
  • Уровень доверия определяет, в каких системах можно применять СЗИ. Шкала — от УД-6 (ГИС 3 класса, КИИ 3 категории) до УД-4 (ГИС 1 класса, КИИ 1 категории). УД-3 и выше — для систем с гостайной.
  • Испытания проводит аккредитованная лаборатория, сертификат выдаёт ФСТЭК. Заявитель взаимодействует с лабораторией и органом по сертификации — ФСТЭК принимает финальное решение на основании экспертного заключения.
  • После получения сертификата начинается инспекционный контроль. Ежегодная процедура подтверждает, что продукт соответствует заявленным характеристикам. При нарушениях сертификат может быть приостановлен или аннулирован.
  • Сертификат с истёкшим сроком не означает запрет на эксплуатацию. Если производитель поддерживает продукт и запись в реестре ФСТЭК актуальна, продукт можно использовать дальше.

Что такое сертификация ФСТЭК и кто её проводит

Сертификация ФСТЭК — процедура подтверждения соответствия средства защиты информации требованиям безопасности, установленным Федеральной службой по техническому и экспортному контролю (ФСТЭК России).

По её итогам выдаётся сертификат соответствия — документ, без которого средство защиты информации нельзя легально применять в государственных информационных системах, системах обработки персональных данных и на объектах критической информационной инфраструктуры (КИИ).

Схема из 6 этапов сертификации средств защиты информации по Приказу ФСТЭК №55. Стрелки между участниками — заявитель, испытательная лаборатория, орган по сертификации, ФСТЭК России.

Роль главного регулятора в этом процессе выполняет ФСТЭК России — федеральный орган исполнительной власти, подведомственный Министерству обороны. Служба устанавливает требования к защите информации, не составляющей государственную тайну, и контролирует их соблюдение в государственном и корпоративном секторе.

Что входит в полномочия ФСТЭК в части сертификации

  • Формирование системы сертификации. ФСТЭК России создаёт и поддерживает нормативно-правовую базу системы сертификации СЗИ — устанавливает правила, процедуры и требования к участникам.
  • Разработка требований и стандартов. Ведомство разрабатывает и утверждает требования по безопасности информации, уровни доверия к СЗИ и методики проведения испытаний.
  • Аккредитация участников. ФСТЭК аккредитует органы по сертификации и испытательные лаборатории, ведёт их реестры.
  • Выдача сертификатов. На основании протоколов испытаний и экспертного заключения органа по сертификации ФСТЭК принимает решение о выдаче сертификата и устанавливает срок его действия.
  • Государственный реестр. Ведомство ведёт открытый реестр сертифицированных СЗИ — публичный перечень всех действующих сертификатов с возможностью проверки подлинности.
  • Надзор и контроль. ФСТЭК проводит инспекционный контроль за сертифицированными продуктами и вправе приостанавливать или отзывать сертификаты при выявлении несоответствий.

Участники системы сертификации ФСТЭК России

Непосредственно испытания проводят аккредитованные испытательные лаборатории — независимые организации, прошедшие проверку ФСТЭК. Орган по сертификации (также аккредитованный ФСТЭК) проверяет результаты испытаний и принимает решение о выдаче сертификата. Заявитель (разработчик или производитель СЗИ) взаимодействует с обеими структурами.

Участник Роль в процессе
ФСТЭК России Устанавливает требования, аккредитует участников, выдаёт и отзывает сертификаты, ведёт реестр
Орган по сертификации Проверяет результаты испытаний, готовит экспертное заключение и проект сертификата
Испытательная лаборатория Проводит сертификационные испытания СЗИ, передаёт материалы в орган по сертификации
Изготовитель СЗИ (заявитель) Подаёт заявку, предоставляет изделие и документацию, взаимодействует с лабораторией и органом по сертификации

Порядок сертификации средств защиты информации

Процедура сертификации регламентирована Приказом ФСТЭК России № 55 и включает последовательные этапы — от подачи заявки до получения сертификата соответствия. Каждый этап закреплён за конкретным участником системы: заявителем, испытательной лабораторией, органом по сертификации или непосредственно ФСТЭК России.

Этап Кто выполняет
1 Согласование заявки на сертификацию, выбор испытательной лаборатории Заявитель
2 Подача заявки в ФСТЭК России Заявитель
3 Выдача решения о проведении сертификации ФСТЭК России
4 Предварительное ознакомление с изделием, передача документации Заявитель → Испытательная лаборатория
5 Разработка и согласование программы и методики испытаний Испытательная лаборатория + Орган по сертификации
6 Проведение сертификационных испытаний Испытательная лаборатория
7 Передача материалов испытаний в орган по сертификации Испытательная лаборатория → Орган по сертификации
8 Экспертиза материалов, подготовка заключения и проекта сертификата Орган по сертификации → ФСТЭК России
9 Выдача сертификата соответствия ФСТЭК России → Заявитель

Что такое Приказ ФСТЭК России № 55?

Приказ ФСТЭК России № 55 от 03 апреля 2018 года — нормативный акт, утверждающий Положение о системе сертификации средств защиты информации в Российской Федерации. Документ устанавливает процедуры, требования и сроки для сертификации средств, предназначенных для защиты информации от несанкционированного доступа и других угроз информационной безопасности.

Что такое испытательная лаборатория?

Аккредитованные ФСТЭК испытательные лаборатории — это специализированные организации, получившие официальное признание и аккредитацию от Федеральной службы по техническому и экспортному контролю (ФСТЭК) России на проведение испытаний средств защиты информации и продуктов информационной безопасности. Реестр таких лабораторий ведёт ФСТЭК России и содержит сведения об аттестатах аккредитации, включая номер аттестата и дату выдачи.

Что такое аккредитованный орган по сертификации?

Аккредитованные ФСТЭК органы по сертификации — это организации, получившие официальное признание от ФСТЭК России на право проведения сертификации средств защиты информации и продуктов информационной безопасности в соответствии с требованиями российского законодательства. Ведение реестра таких органов осуществляется ФСТЭК России, который содержит полную информацию об аккредитованных сертификационных центрах и их полномочиях.


Зачем нужна сертификация ФСТЭК

  • Подтверждение надёжности продукта. Испытания включают анализ исходного кода, проверку на уязвимости и тестирование заявленных функций безопасности. Для заказчика сертификат — независимое свидетельство того, что продукт проверен, а не просто задекларирован производителем как безопасный.
  • Выполнение требований регуляторов. Для государственных информационных систем, информационных систем персональных данных и значимых объектов КИИ применение сертифицированных СЗИ обязательно.
  • Допуск продукта на защищённый рынок. Разработчик СЗИ без сертификата ФСТЭК закрыт от госзаказчиков, операторов КИИ и большинства крупных корпоративных тендеров, где наличие сертификата — обязательное требование технического задания.
  • Конкурентное преимущество. В сегменте продаж государственным заказчикам (B2G) и корпоративном секторе с регуляторными требованиями (B2B) сертификат ФСТЭК часто становится решающим аргументом при выборе между сопоставимыми продуктами.

Кому нужна сертификация ФСТЭК

Сертификация ФСТЭК требуется организациям, которые обрабатывают конфиденциальные данные, эксплуатируют объекты критической информационной инфраструктуры или поставляют средства защиты на рынок.

  • Государственные органы и ГИС. Информационные системы, обрабатывающие государственные данные, обязаны использовать сертифицированные СЗИ. Это распространяется на федеральные и региональные органы власти, а также на организации, эксплуатирующие государственные информационные системы.
  • Операторы персональных данных. Медицинские учреждения, банки, образовательные организации и любые другие операторы, проходящие аттестацию информационной системы персональных данных, обязаны применять сертифицированные средства защиты.
  • Субъекты КИИ. Организации из энергетики, финансовой сферы, здравоохранения, транспорта и других отраслей, чьи объекты признаны значимыми, обязаны использовать СЗИ, прошедшие оценку соответствия требованиям ФСТЭК.
  • Разработчики и поставщики СЗИ. Сертификат подтверждает, что антивирус, менеджер паролей, межсетевой экран, операционная система или другое средство защиты проверено на отсутствие уязвимостей и соответствует требованиям безопасности. Для поставщиков, работающих с госзаказчиками, сертификат — обязательное условие участия в закупках.
  • Коммерческие компании. Для бизнеса без госконтрактов и вне периметра КИИ сертификация добровольна, но служит конкурентным преимуществом и упрощает выход на рынок с высокими требованиями к информационной безопасности.

Что подлежит сертификации ФСТЭК

Объект сертификации ФСТЭК — средство защиты информации. Это программный или программно-аппаратный продукт, реализующий функции защиты. Сертифицируется конкретная версия продукта с конкретной конфигурацией — изменение кода требует повторного прохождения процедуры или инспекционного контроля.

Согласно Приказу ФСТЭК России № 55 от 03.04.2018, сертификации подлежат три категории продуктов:

  1. Средства противодействия иностранным техническим разведкам — а также средства контроля эффективности такого противодействия. Применяются преимущественно в государственных и оборонных структурах.
  2. Средства технической защиты информации (СТЗИ) — включая средства, в которых они реализованы, и средства контроля эффективности технической защиты. Наиболее широкая категория на практике: сюда входят межсетевые экраны, средства защиты от НСД, антивирусные средства, средства обнаружения вторжений, средства доверенной загрузки, операционные системы и СУБД, применяемые в защищаемых системах.
  3. Средства обеспечения безопасности информационных технологий — включая защищённые средства обработки информации. Категория охватывает продукты, в которых функции безопасности встроены в общую функциональность: защищённые ОС, аппаратно-программные комплексы с функциями защиты.

Что не сертифицируется по линии ФСТЭК:

  1. Средства криптографической защиты информации (СКЗИ) — их сертифицирует ФСБ России по отдельной системе.
  2. СЗИ иностранного производства, в отношении которых установлены ограничения или запреты на использование в РФ, — прямой запрет закреплён в Приказе № 55 (в ред. Приказа ФСТЭК № 121 от 05.08.2021).
  3. Общесистемное ПО без функций защиты, бизнес-приложения (ERP, CRM), сетевое оборудование без встроенных функций защиты.

Корпоративные менеджеры паролей, применяемые в ГИС или на объектах КИИ, относятся ко второй категории объектов сертификации по Приказу ФСТЭК № 55 — средствам технической защиты информации (в нормативном смысле этот термин охватывает программные и программно-аппаратные СЗИ, а не только аппаратные решения). Если такой продукт используется в защищаемой системе, он должен быть сертифицирован.

CTA Image

Пассворк — единственный менеджер паролей, сертифицированный ФСТЭК России. Продукт включён в реестр отечественного ПО и имеет лицензии ФСБ на работу с криптографией, а также ФСТЭК на ТЗКИ и СЗКИ — это означает, что его можно применять в ГИС, ИСПДн и на значимых объектах КИИ без дополнительных согласований. Протестировать Пассворк в своей инфраструктуре можно бесплатно


Практические особенности сертификации ФСТЭК

Сертификация — постоянный процесс управления соответствием. Несколько аспектов, которые важно учитывать на практике.

  • Сертифицированная версия отличается от коммерческой. Продукт эксплуатируется в зафиксированной конфигурации, которая прошла испытания. Из-за этого возникают задержки обновлений: пока новая версия проходит испытания (в среднем 5–12 месяцев), сертифицированная остаётся на предыдущем релизе. Часть функциональности может быть ограничена.
  • СЗИ с истёкшим сертификатом не нужно немедленно менять. Если производитель продолжает техническую поддержку продукта и запись о сертификате остаётся в реестре ФСТЭК — продукт можно эксплуатировать дальше. Статус поддержки отображается в реестре отдельной графой, его можно проверить публично.
  • Инспекционный контроль — ежегодная обязанность. После получения сертификата производитель проходит плановый инспекционный контроль раз в год. Внеплановый контроль возможен при выявлении нарушений или существенных изменениях в продукте. По результатам контроля сертификат может быть приостановлен или аннулирован.
  • В одной организации могут сосуществовать разные требования. Если компания эксплуатирует несколько информационных систем с разными категориями данных, одна система может требовать сертифицированных СЗИ, другая — нет. Это допустимо, но системы должны быть чётко разделены: их пересечение исключено.
  • Требования ФСТЭК регулярно обновляются. Модель угроз меняется, вслед за ней обновляется и реестр сертифицированных СЗИ. Продукт, соответствующий требованиям сегодня, может потребовать замены при следующем обновлении нормативной базы. Переход на новые СЗИ и повторная аттестация выполняются поэтапно, чтобы не создавать разрывов в защите действующих систем.

Правовая основа системы сертификации СЗИ

Правовая база системы сертификации ФСТЭК России включает федеральные законы, постановления Правительства РФ, а также основополагающий Приказ ФСТЭК России от 03.04.2018 № 55, который утверждает Положение о системе сертификации средств защиты информации.

Уровень 1: Федеральные законы (рамочные требования)

Федеральные законы устанавливают обязанность защищать информацию и подтверждать соответствие средств защиты, но не указывают конкретную форму — сертификат или декларирование.

Закон Что именно сказано Для кого
152-ФЗ «О персональных данных» Оператор обязан применять СЗИ, прошедшие оценку соответствия (без уточнения формы) ИСПДн
187-ФЗ «О безопасности КИИ» ФСТЭК уполномочена устанавливать требования к безопасности значимых объектов КИИ, включая параметры программно-аппаратных СЗИ КИИ
149-ФЗ «Об информации, информационных технологиях и о защите информации» Обладатель информации обязан принимать меры по защите, состав мер определяют ФСБ и ФСТЭК (для ГИС) и Правительство (для остальных категорий) ГИС
184-ФЗ «О техническом регулировании» Определяет формы оценки соответствия: сертификация (обязательная/добровольная) и декларирование Все системы

Вывод с этого уровня: федеральные законы говорят «надо защищать» и «надо подтверждать соответствие СЗИ», но не говорят «только сертификат ФСТЭК». Это решается ниже.

Уровень 2: Постановления Правительства РФ (конкретизация)

Постановления Правительства переводят рамочные требования законов в конкретные правила для каждого типа систем: устанавливают уровни защищённости, правила категорирования объектов и требования к импортозамещению. Именно здесь появляется привязка к классам защиты — от неё зависит, какой именно сертификат потребуется от СЗИ.

Документ Что устанавливает Для кого
ПП № 1119 от 01.11.2012 Уровни защищённости ПДн (4 уровня) и общие требования к их защите ИСПДн
ПП № 676 от 06.07.2015 Общие требования к созданию и эксплуатации ГИС, включая отсылку к необходимости защиты информации ГИС
ПП № 127 от 08.02.2018 Правила категорирования объектов КИИ КИИ
ПП № 330 от 01.03.2025 Требования к использованию российского ПО на объектах КИИ (импортозамещение) КИИ

Уровень 3: Приказы ФСТЭК (главный практический уровень)

На этом уровне уже прямо появляется слово «сертификат». Каждый приказ адресован конкретному типу систем и устанавливает, что СЗИ должны быть сертифицированы ФСТЭК, а класс защиты сертификата определяется классом или категорией защищаемой системы.

Приказ Полное название Для кого Что требует
№ 117 (ранее № 17) Требования к защите информации в ГИС ГИС, КИИ СЗИ должны иметь действующий сертификат ФСТЭК
№ 21 Состав и содержание мер по защите ПДн ИСПДн СЗИ должны иметь действующий сертификат ФСТЭК, класс СЗИ зависит от уровня защищённости ПДн (УЗ-1…УЗ-4)
№ 31 Требования к защите информации в АСУ ТП АСУ ТП на КИИ СЗИ — сертифицированные, класс защиты определяется категорией значимости объекта
№ 239 Требования по обеспечению безопасности значимых объектов КИИ КИИ (значимые объекты) СЗИ — только сертифицированные ФСТЭК (и/или ФСБ для СКЗИ)
№ 55 Положение о системе сертификации СЗИ Все Описывает саму процедуру сертификации: как подать, как испытывают, срок действия сертификата

Вывод: приказы №117, №21, №31 и №239 создают спрос на сертификат. Приказ №55 описывает, как этот сертификат получить.

Уровень 4: Методические документы ФСТЭК (разъяснения)

Методические документы объясняют, как выполнять требования приказов. Прежде всего это касается определения актуальных угроз и выбора конкретных мер защиты: от этого зависит, какой класс СЗИ потребуется в конкретной системе.

Документ Что содержит
Методика оценки угроз безопасности информации (2021) Как определять актуальные угрозы — от этого зависит требуемый класс СЗИ
Методический документ «Меры защиты информации в ГИС» (2014) Таблицы соответствия: класс ГИС → конкретные меры → требуемый класс СЗИ

Что такое уровень доверия ФСТЭК

Уровень доверия (УД) — это характеристика средства защиты информации, которая отражает глубину проверки продукта при сертификации: насколько тщательно испытательная лаборатория изучила исходный код, документацию и процессы разработки. Чем выше уровень доверия, тем строже требования к самому СЗИ и тем в более критичных системах его разрешено применять.

Шкала включает 6 уровней — от базового (УД-6) до максимального (УД-1). Уровни доверия введены Приказом ФСТЭК России № 76 от 02.06.2020, который с 1 января 2021 года заменил ранее действовавший Приказ № 131.

Уровень доверия и класс защиты — разные понятия. Уровень доверия описывает, насколько глубоко проверено само СЗИ. Класс защиты описывает требования к информационной системе, в которой это СЗИ применяется.

Минимально допустимый уровень доверия для каждого типа систем задаётся отраслевыми приказами ФСТЭК: № 17 — для ГИС, № 21 — для ИСПДн, № 239 — для значимых объектов КИИ (критической информационной инфраструктуры).

6 уровней доверия ФСТЭК

Уровень доверия Где применяется Глубина проверки
УД-6 (базовый) ГИС 3 класса, ИСПДн УЗ-3 и УЗ-4, КИИ 3 категории, АСУ ТП 3 класса Архитектура безопасности, функциональная спецификация, тестирование, поиск уязвимостей по 6 уровню контроля
УД-5 ГИС 2 класса, ИСПДн УЗ-2, КИИ 2 категории, АСУ ТП 2 класса УД-6 + исходные тексты ПО, структурные схемы аппаратной платформы, поиск уязвимостей по 5 уровню контроля, реагирование на уязвимости в течение 60 дней
УД-4 ГИС 1 класса, ИСПДн УЗ-1, КИИ 1 категории, АСУ ТП 1 класса, ИС общего пользования II класса УД-5 + формальная модель безопасности, анализ скрытых каналов, поиск уязвимостей по 4 уровню контроля, реагирование на уязвимости в течение 48 часов
УД-3 — УД-1 Системы, обрабатывающие сведения, составляющие государственную тайну Требования содержатся в документах с ограниченным доступом и в публичной выписке Приказа № 76 не раскрываются
УД-4 также охватывает информационные системы общего пользования II класса (Приказ ФСБ и ФСТЭК № 416/489). Требования к УД-3, УД-2 и УД-1 содержатся в документах с ограниченным доступом и в публичной выписке Приказа № 76 не раскрываются.

Требования к процессам безопасной разработки ПО, которые влияют на получение более высоких уровней доверия, регулируются ГОСТ Р 56939-2024. Начиная с определённых уровней доверия соответствие этому стандарту становится обязательным условием сертификации.


Сертификация как часть архитектуры безопасности

Заключение

Сертификат ФСТЭК подтверждает соответствие продукта требованиям безопасности на момент испытаний. Дальше начинается работа по поддержанию этого соответствия: инспекционный контроль, согласование обновлений с регулятором, актуализация документации при изменениях в продукте.

Организации, которые встраивают эти процессы в жизненный цикл разработки заранее, а не адаптируются к ним постфактум, проходят повторные сертификации быстрее и с предсказуемым бюджетом.

Требования ФСТЭК меняются вместе с моделью угроз. Продукт, соответствующий актуальным требованиям сегодня, может потребовать доработки при следующем обновлении нормативной базы. Это не недостаток системы — это её логика: сертификация отражает текущий уровень доверия, а не даёт бессрочную гарантию.

Для организаций, которым нужен сертифицированный менеджер паролей для выполнения требований ФСТЭК, Пассворк — готовое решение: продукт включён в реестр отечественного ПО, имеет лицензии ФСТЭК и ФСБ, что закрывает требования регуляторов без необходимости строить решение с нуля.

CTA Image

Пассворк сертифицирован ФСТЭК России по 4-му уровню доверия — это означает применимость в ГИС первого класса, ИСПДн УЗ-1, на значимых объектах КИИ первой категории и в АСУ ТП первого класса. Протестировать можно бесплатно


Часто задаваемые вопросы о сертификации ФСТЭК

Часто задаваемые вопросы о сертификации ФСТЭК

Что такое сертификация ФСТЭК?

Сертификация ФСТЭК — процедура подтверждения соответствия средства защиты информации требованиям безопасности, установленным Федеральной службой по техническому и экспортному контролю. Сертификат обязателен для СЗИ, применяемых в государственных информационных системах, информационных системах персональных данных и на значимых объектах КИИ.

Сколько действует сертификат ФСТЭК?

Срок действия сертификата устанавливает ФСТЭК России при его выдаче — он фиксируется в самом документе. В течение срока действия производитель обязан ежегодно проходить инспекционный контроль. По его результатам сертификат может быть подтверждён, приостановлен или аннулирован.

Чем сертификация ФСТЭК отличается от лицензии ФСТЭК?

Сертификация подтверждает соответствие конкретного продукта требованиям безопасности — это документ на продукт. Лицензия ФСТЭК даёт организации право выполнять определённые виды деятельности по защите информации, например техническую защиту конфиденциальной информации (ТЗКИ) или разработку СЗИ — это документ на деятельность. Процедуры получения, органы и основания для выдачи у них разные.

Можно ли использовать несертифицированное СЗИ в госорганизации?

Нет, если речь идёт о государственной информационной системе или системе обработки персональных данных. Согласно Приказу ФСТЭК № 17 (для ГИС) и Приказу ФСТЭК № 21 (для ИСПДн), применяемые СЗИ должны быть сертифицированы и соответствовать требуемому уровню доверия. Использование несертифицированных СЗИ является нарушением и может повлечь административную ответственность.

Как проверить, действителен ли сертификат ФСТЭК?

Актуальный статус сертификата проверяется в реестре сертифицированных СЗИ на официальном сайте ФСТЭК России. Реестр содержит номер сертификата, наименование и версию продукта, срок действия и текущий статус. Проверку рекомендуется проводить перед закупкой СЗИ и при плановых аудитах информационной безопасности.

Что происходит с сертификатом при обновлении продукта?

Сертификат выдаётся на конкретную версию продукта в зафиксированной конфигурации. При выпуске обновления производитель согласовывает изменения с органом по сертификации в рамках инспекционного контроля. Существенные изменения в коде или архитектуре безопасности могут потребовать повторных испытаний. До завершения процедуры эксплуатировать разрешено только сертифицированную версию.

Нужна ли повторная сертификация при смене инфраструктуры?

Сертификат распространяется на продукт, а не на инфраструктуру, в которой он развёрнут. Смена серверов или переход на другую платформу сама по себе не требует повторной сертификации СЗИ. Однако если организация меняет категорию обрабатываемых данных (например, начинает обрабатывать персональные данные более высокого уровня защищённости) может потребоваться замена СЗИ на продукт с более высоким уровнем доверия.

Первый менеджер паролей с сертификацией ФСТЭК России
30 апреля 2026 года Пассворк получил сертификат ФСТЭК России № 5063 по 4-му уровню доверия — наивысшему для коммерческих средств защиты информации. Пассворк стал первым российским менеджером паролей, который может применяться в ГИС, ИСПДн, КИИ и АСУ ТП 1 класса защищённости.
Импортозамещение КИИ в 2026: сроки, требования и план перехода
С 2025 года часть запретов на иностранное ПО и СЗИ уже действует. Базовый дедлайн перехода — 2028 год, штрафы за нарушение сроков готовятся. Разбираем требования, сроки и план действий на 2026 год.
Кейс-стади: ВкусВилл и Пассворк
ИТ-команда ВкусВилла искала инструмент для централизованного хранения секретов с LDAP-интеграцией и надёжным резервированием. Рассказываем, как выбирали, внедряли и как это устроено сейчас.

Что такое сертификация ФСТЭК: кому нужна и как пройти

Разбираем систему сертификации ФСТЭК: кто обязан применять сертифицированные СЗИ, как устроена процедура от заявки до выдачи сертификата, чем отличаются уровни доверия УД-6 — УД-4 и какие обязательства возникают после получения сертификата.

8 июля 2026 г.
7 способов взлома соцсетей: как воруют аккаунты в 2026 году

За три года в мире скомпрометировано более 100 миллиардов записей персональных данных, из них 4,5 миллиарда — в России. Такую статистику приводит экспертно-аналитический центр InfoWatch в своём исследовании «Отчет об утечках информации в мире за три года». Персональные данные фигурируют в 74% всех утечек и именно они питают взломы аккаунтов ВКонтакте, Одноклассников и других социальных сетей: украденные логины и пароли моментально оседают в базах для автоматического перебора.

Число сообщений о взломах аккаунтов в соцсетях выросло на 123,1% в период с марта 2024 по февраль 2025 года — динамика, которую фиксирует исследование аналитического агенства ПрессИндекс.

За этой статистикой стоят конкретные методы: фишинговые страницы, автоматическая подстановка паролей из утечек, перехват SMS-кодов через подмену SIM-карты, вредоносное ПО, которое крадёт активные сессии прямо из браузера, — каждый вектор эксплуатирует отдельную уязвимость. В этой статье разбирём семь актуальных способов взлома аккаунтов в соцсетях, объясним, как именно они работают, и дадим конкретные меры защиты для каждого из них.


Главное за 30 секунд

  • Масштаб угрозы огромен. За три года в мире скомпрометировано более 100 млрд записей. 39% россиян уже сталкивались со взломом аккаунтов в соцсетях как прямым следствием утечки — и это только те, кто об этом узнал.
  • Фишинг остаётся главным вектором. Поддельные страницы авторизации, SMS-рассылки, боты в мессенджерах — всё это доступно как готовый сервис за несколько тысяч рублей. Порог входа для атакующего минимален.
  • Повторяющиеся пароли делают одну утечку катастрофой. 77% россиян используют не более семи паролей на все сервисы. Одна скомпрометированная пара логин/пароль автоматически проверяется на десятках других платформ.
  • SMS-коды не защищают от SIM-своппинга. Перехватив номер телефона через оператора связи, атакующий получает все одноразовые коды и полный контроль над аккаунтами, привязанными к этому номеру.
  • Инфостилеры обходят двухфакторную аутентификацию. Вредоносное ПО крадёт не пароль, а активный сессионный cookie прямо из браузера. Сервер видит валидный токен и не запрашивает повторную аутентификацию.
  • Механизм «Забыли пароль?» — самостоятельный вектор атаки. Ответы на контрольные вопросы собираются из открытых профилей за 15–20 минут. Взломанная почта открывает доступ ко всем привязанным сервисам сразу.
  • Украденный аккаунт — начало монетизации. Доступ продаётся и затем используется для мошенничества по контактам жертвы, фишинга, шантажа и проверки тех же паролей на банковских приложениях.

Фишинг: почему ссылка всё ещё главное оружие

Схема фишинговой атаки: от поддельной ссылки до захвата аккаунта в социальной сети

Фишинг — атака, при которой жертву обманом вынуждают самостоятельно передать учётные данные: через поддельную страницу авторизации, сообщение от имени доверенного отправителя или звонок с убедительной легендой.

Как работает фишинговая атака

Типовой сценарий: жертва получает ссылку на страницу, визуально неотличимую от настоящей формы авторизации ВКонтакте или другой социальной сети. Вводит логин и пароль — данные уходят атакующему, а пользователя редиректят на настоящий сайт. Он ничего не замечает.

Раньше подготовка такой атаки требовала технических знаний: нужно было самостоятельно создать копию страницы, настроить перехват данных, организовать рассылку. Сейчас всё это продаётся в готовом виде. Фишинг как услуга (Phishing-as-a-Service, PhaaS) — наборы инструментов с теневых форумов, которые включают поддельные страницы авторизации под конкретные сервисы, Telegram-боты для автоматического сбора и сортировки украденных данных, панели управления с аналитикой успешных входов.

Это напрямую влияет на масштаб. Фишинговые кампании запускаются массово, одновременно против тысяч пользователей, с автоматической обработкой результатов.

По данным Лаборатории Касперского за 2025 год, фишинг остаётся одним из самых распространённых способов компрометации учётных данных в России, а атаки через мессенджеры выросли кратно за счёт автоматизации через ИИ.

Актуальные методы фишинга в 2026 году

  • Почтовый фишинг — массовые рассылки с поддельными уведомлениями от имени соцсетей, банков или госсервисов: «Ваш аккаунт заблокирован», «Подтвердите вход», «Обнаружена подозрительная активность». Письмо визуально копирует оформление оригинала (логотип, шрифты и структуру). Ссылка ведёт на поддельную страницу авторизации.
  • SMS-фишинг (smishing, смишинг) — вредоносные ссылки через SMS с имитацией уведомлений от банков, операторов связи или госпорталов. Расчёт на то, что короткое SMS воспринимается как системное сообщение, а не как потенциальная угроза.
  • Фишинг в мессенджерах — атаки через Telegram, личные сообщения ВКонтакте, Одноклассники и другие платформы. Особенно опасны боты, имитирующие официальную техподдержку: они отвечают связно, выдерживают диалог и запрашивают код подтверждения под убедительным предлогом.
  • Голосовой фишинг (vishing, вишинг) — звонки от имени «службы безопасности банка» или «технической поддержки» с требованием назвать код из SMS или подтвердить операцию.
  • Фишинг через QR-коды (quoshing, квишинг) — поддельные QR-коды на распечатанных объявлениях, в письмах или документах. Пользователь сканирует код и попадает на страницу сбора учётных данных.
  • ИИ-фишинг — автоматическая генерация персонализированных сообщений на основе данных из открытых профилей жертвы: имени, круга общения, недавних публикаций, места работы. Сообщение выглядит как написанное живым человеком, который знает контекст.

Подстановка учётных данных: когда ваш пароль уже украден

Схема атаки credential stuffing: как одна утечка компрометирует аккаунты на других сервисах

Подстановка учётных данных (credential stuffing) — автоматизированная атака, при которой злоумышленник берёт пары логин/пароль из утечек и систематически проверяет их на других сервисах. Атака работает за счёт одной человеческой привычки: люди повторно используют одни и те же пароли на разных платформах.

Данные для атак подстановкой накапливается стремительно: отчёт SpyCloud (март 2026) показал, что в 2025 году в базах утечек накоплено 5,3 млрд пар логин/пароль — рост на 65% год к году. Каждая такая пара потенциально используется в атаках на подстановку учётных данных. Если ваш электронный адрес есть хотя бы в одной из этих баз, атакующим остаётся только автоматически проверить пароль для входа в социальные сети.

Как работает подстановка учётных данных

  1. Получение базы. Злоумышленник покупает или скачивает базу скомпрометированных данных на теневых форумах.
  2. Подготовка инструмента. В специализированный инструмент загружается база и готовый конфиг под целевой сервис: ВКонтакте, почтовый провайдер, маркетплейс. Конфиги продаются отдельно и описывают структуру формы авторизации конкретного сайта.
  3. Запуск перебора. Инструмент автоматически отправляет запросы на авторизацию — тысячи в минуту через распределённый ботнет. Каждый узел сети делает несколько попыток, имитируя поведение обычного пользователя: разные IP-адреса и случайные интервалы между запросами.
  4. Обход защиты. Распределённый трафик маскируется под легитимные входы: сервис не видит аномальной нагрузки с одного адреса. Базовые механизмы ограничения частоты запросов не срабатывают.
  5. Захват аккаунта. Успешные пары автоматически фиксируются и сортируются. Дальнейшее использование зависит от ценности аккаунта: продажа доступа, вывод средств, рассылка от имени жертвы или проверка тех же учётных данных на других сервисах (банковских приложениях, маркетплейсах, Госуслугах).

Почему это работает

По данным DLBI, каждый третий россиянин (30%) использует не более трёх паролей для всех своих сервисов. Ещё 47% обходятся четырьмя-семью комбинациями. Более уникальные пароли (от восьми) создают только 23% пользователей.

Математика проста: одна утечка из любого сервиса, где зарегистрирован пользователь, открывает доступ ко всем остальным его аккаунтам. При базе в 5,3 млрд скомпрометированных пар даже низкая конверсия даёт миллионы успешных взломов.

Масштаб проблемы подтверждает статистика: по информации Ведомостей и Гарда, 39% россиян уже столкнулись со взломом аккаунтов социальных сетей как прямым следствием утечки. И это только те, кто об этом узнал — большинство жертв не получают никаких уведомлений и обнаруживают взлом случайно или не обнаруживают вовсе.

Брутфорс: когда пароль слишком прост

Схема брутфорс-атаки: автоматический перебор паролей по логину или email

Брутфорс (от англ. brute force — «грубая сила», атака полным перебором) — метод получения несанкционированного доступа к системе путём автоматизированного перебора возможных комбинаций учётных данных: паролей, токенов, ПИН-кодов или ключей шифрования.

Атакующему достаточно знать логин или электронный адрес жертвы — остальное делает автоматика. Именно поэтому брутфорс особенно опасен для аккаунтов социальных сетей с предсказуемыми паролями: именами, датами рождения, простыми словарными фразами.

Как работает брутфорс

Скорость атаки зависит от двух факторов: вычислительной мощности и метода.

  1. Сбор для точки входа. Атакующий определяет цель: логин, электронный адрес или номер телефона.
  2. Выбор метода перебора. В зависимости от сложности пароля и имеющихся данных о жертве атакующий выбирает стратегию: от перебора популярных словарных комбинаций до полного перебора всех возможных символов.
  3. Запуск автоматизированного перебора. Специализированные инструменты отправляют запросы на авторизацию с подменой пароля при каждой попытке.
  4. Обход ограничений. Запросы распределяются по прокси-серверам и ботнетам, чтобы не превышать пороговые значения блокировки. Между попытками добавляются случайные задержки (имитация действий живого пользователя).
  5. Фиксация результата. Успешный вход автоматически логируется. Аккаунт уходит в продажу или используется для дальнейших взломов.

6 основных методов брутфорса

  • Простой брутфорс (полный перебор, Brute Force) — последовательный перебор всех возможных комбинаций символов в заданном пространстве поиска: aaaaaaabaaac. Метод не использует предположений о структуре пароля и гарантирует результат при достаточных ресурсах, но сложность растёт экспоненциально с длиной пароля.
  • Атака по словарю (Dictionary Attack) — перебор по заранее подготовленному списку вероятных кандидатов: реальных паролей из утечек, распространённых слов, предсказуемых последовательностей. Алгоритм проверяет не aaaa0001, а p@rol12, qwerty, admin123 — то, что люди действительно используют. Популярный словарь rockyou.txt содержит 14 млн записей.
  • Распыление паролей (Password Spraying) — один пароль последовательно проверяется против большого числа учётных записей. Логика обратная классическому брутфорсу: не множество паролей против одного аккаунта, а один пароль против тысяч аккаунтов.
  • Гибридная атака (Hybrid Attack) — метод взлома паролей, сочетающий словарный перебор с автоматическими мутациями базовых слов. Алгоритм не перебирает все возможные комбинации, а воспроизводит предсказуемые человеческие шаблоны: добавляет цифры в конец (admin2026), заменяет буквы символами (@dmin), вставляет спецсимволы (Admin!), меняет регистр (ADMINAdmin).
  • Атака по радужным таблицам (Rainbow Table Attack) — офлайн-взлом хешей на основе предвычисленных таблиц соответствий «пароль → хеш». При получении хеша из утечки атакующий не вычисляет его заново, а ищет совпадение в готовой таблице.
  • Распределённый брутфорс через ботнет — атака распределяется между тысячами скомпрометированных устройств. Каждый узел отправляет минимальное число запросов — достаточно малое, чтобы не вызвать блокировку, но в совокупности обеспечивающее высокую скорость перебора.
  • ИИ-брутфорс (AI-Assisted Brute Force) — модели машинного обучения, обученные на миллиардах реальных паролей из утечек, предсказывают наиболее вероятные кандидаты для конкретного пользователя или организации и начинают атаку с них — вместо последовательного перебора всех комбинаций.
Подробнее о механике каждого метода, реальных инструментах атакующих и способах защиты — в статье «Что такое брутфорс: виды, угрозы и защита»

Социальная инженерия и SIM-своппинг: когда взламывают не пароль, а человека

Большинство атак на аккаунты эксплуатируют уязвимости в программном обеспечении или протоколах. Два метода из этого раздела устроены иначе: они направлены против людей и процедур. Социальная инженерия манипулирует жертвой напрямую — вынуждает её самостоятельно передать доступ. SIM-своппинг атакует не пользователя, а оператора связи — и перехватывает канал доставки кодов подтверждения. Оба метода объединяет одно: технические средства защиты при этом не задействуются и не помогают.

Социальная инженерия — совокупность психологических техник манипуляции, при которых жертву обманом вынуждают самостоятельно передать доступ к аккаунту, конфиденциальные данные или одноразовый код подтверждения.

Переход операторов на удалённую выдачу eSIM сделал перехват номера телефона быстрее и дешевле. Для пользователей социальных сетей это означает прямую угрозу: номер телефона привязан к аккаунту ВКонтакте, мессенджерам и другим сервисам — его перехват даёт атакующему полный контроль над всеми этими профилями одновременно.

Как работает атака через социальную инженерию

Схема атаки через социальную инженерию: как жертву обманом вынуждают передать код подтверждения

Типовой сценарий для пользователей социальных сетей — атака через доверие:

  1. Сбор данных. Атакующий изучает профиль жертвы: имя, фото, круг общения, место работы, упомянутые события. Всё это доступно в открытых профилях ВКонтакте, Одноклассниках, Telegram-каналах.
  2. Создание легенды. Злоумышленник пишет от имени знакомого, службы поддержки или официального аккаунта сервиса. Сообщение содержит правдоподобный предлог: «Ваш аккаунт пытались взломать, подтвердите личность», «Вы выиграли приз, введите код из SMS».
  3. Получение кода. Жертву просят назвать код из SMS или пуш-уведомления якобы для «подтверждения» или «защиты» аккаунта. Этот код и есть одноразовый токен двухфакторной аутентификации (2FA). Как только он передан — атакующий входит в аккаунт.
  4. Захват аккаунта. Злоумышленник меняет пароль и привязанный номер телефона. Жертва теряет доступ к профилю и нередко обнаруживает это только тогда, когда знакомые сообщают о подозрительных сообщениях от её имени.

Ключевой элемент — срочность и имитация авторитета. Сообщения намеренно создают давление: «ответьте в течение 10 минут», «аккаунт будет заблокирован». Именно спешка отключает критическое мышление.

SIM-своппинг: перехват номера как ключа ко всем SMS-кодам

Схема SIM-своппинга: перехват номера телефона для получения SMS-кодов двухфакторной аутентификации

SIM-своппинг (SIM-swap) — переоформление номера телефона жертвы на SIM-карту атакующего через оператора связи: злоумышленник убеждает поддержку, что именно он является владельцем номера, и добивается переноса номера на свою SIM-карту или eSIM. После этого все входящие SMS (коды 2FA от ВКонтакте, мессенджеров, банковских приложений, Госуслуг) поступают злоумышленнику.

Важно отличать SIM-своппинг от схожих атак:

  • SIM-клонирование — более сложный сценарий с копированием секретов SIM-карты, встречается редко.
  • Переадресация звонков — перенастройка маршрутизации без смены SIM, решается у оператора быстрее.

Классический SIM-своппинг именно переносит номер на чужую SIM или eSIM, что даёт полноценный канал для перехвата кодов.

Пять сценариев SIM-своппинга

  1. Звонок в колл-центр («растерянный клиент»). Самый распространённый вариант. Злоумышленник звонит в поддержку оператора под видом клиента, потерявшего SIM-карту. Убедительная легенда плюс заранее собранные персональные данные жертвы (ФИО, дата рождения, паспортные данные из утечек или открытых профилей ВКонтакте) позволяют пройти проверку и получить перевыпуск номера. Сотрудник колл-центра не видит собеседника и вынужден доверять его словам.
  2. Визит в салон связи с поддельными документами. Атакующий приходит в офис оператора лично с распечатанной или поддельной доверенностью либо с документами, данные которых совпадают с данными жертвы из купленной базы. Физическое присутствие создаёт иллюзию легитимности. Этот сценарий требует большей подготовки, но даёт более высокий процент успеха у операторов с жёсткими требованиями к удалённой идентификации.
  3. Взлом личного кабинета оператора. Личный кабинет на сайте оператора зачастую защищён слабее банковского приложения. Получив доступ через подобранный или утёкший пароль, атакующий самостоятельно инициирует перевыпуск eSIM.
  4. Инсайдер у оператора. Один из наиболее опасных и труднообнаруживаемых сценариев. Злоумышленник платит сотруднику оператора связи за выполнение перевыпуска SIM «изнутри» — без каких-либо проверок и документов. Жертва не получает никаких предупреждений: операция выглядит как штатная.
  5. Перенос номера к другому оператору. Атакующий инициирует перенос номера жертвы к другому оператору. Для этого достаточно знать код переноса, который можно получить через поддержку или личный кабинет. После переноса номер оказывается у нового «владельца» на SIM другого оператора, и прежний оператор уже ничего не контролирует.

Что объединяет все пять сценариев: атака направлена не на устройство жертвы и не на её пароль, а на процедуры идентификации у оператора. Именно поэтому надёжный пароль и даже включённая 2FA через SMS не защищают от SIM-своппинга: злоумышленник получает контроль над каналом доставки кодов раньше, чем жертва что-либо замечает.


Инфостилеры и перехват сессий

Схема атаки инфостилера: кража сессионных cookies для обхода пароля и двухфакторной аутентификации

Инфостилеры — класс вредоносного программного обеспечения (ПО), специализирующегося на краже данных непосредственно с заражённого устройства: сохранённых паролей, файлов cookies, сессионных токенов, данных автозаполнения и криптокошельков. В отличие от классических атак на пароли, инфостилер не подбирает и не перехватывает учётные данные в момент ввода — он извлекает уже готовый результат аутентификации и передаёт его атакующему.

Именно поэтому сессионный токен сегодня ценится в даркнете выше пары логин/пароль: он открывает доступ к аккаунту мгновенно и полностью обходит двухфакторную аутентификацию (2FA). По данным отчёта Positive Technologies, вредоносное ПО остаётся одним из двух ключевых методов атак на российские организации наряду с социальной инженерией и сохранит эту позицию в 2026 году.

Как это работает: от заражения до доступа без пароля

  1. Заражение устройства. Пользователь скачивает файл из фишингового письма, устанавливает поддельное расширение для браузера, переходит по рекламной ссылке в поисковике, ведущей на фейковую страницу загрузки популярного ПО, или открывает пиратский контент. Вредоносный код запускается в фоне без видимых признаков заражения.
  2. Сканирование браузера. Инфостилер обращается к локальному хранилищу браузера: базе данных cookies, сохранённым паролям, данным автозаполнения, сессионным токенам. Chromium-браузеры (Chrome, Edge, Яндекс.Браузер) хранят эти данные в предсказуемых директориях — инфостилер знает, где искать.
  3. Передача данных на сервер управления. Собранные данные упаковываются и отправляются на C2-сервер (Command & Control — сервер управления и контроля) атакующего. Весь процесс, от заражения до передачи, занимает секунды.
  4. Импорт cookies в браузер атакующего. Злоумышленник загружает перехваченные файлы cookies в свой браузер с помощью специализированных инструментов. С точки зрения сервера — это тот же пользователь, с тем же устройством, с той же активной сессией.
  5. Полный доступ без пароля и без 2FA. Сервер видит валидный сессионный токен и не запрашивает ни пароль, ни код подтверждения. Аутентификация уже прошла — повторная проверка не нужна. Атакующий получает доступ к аккаунту ВКонтакте, Одноклассниках, Госуслугам, почте или банковскому личному кабинету.

Почему инфостилеры обходят 2FA

Двухфакторная аутентификация защищает момент входа. Сессионный cookie — это доказательство того, что вход уже состоялся. Сервер не знает, что токен украден: он видит корректный идентификатор сессии и считает пользователя авторизованным. Это фундаментальное ограничение SMS-2FA и приложений-аутентификаторов: они защищают процесс входа, но не защищают активную сессию после него.

Наиболее распространённые инфостилеры

Инфостилер Специализация Основной вектор распространения
RedLine Cookies, пароли, данные карт из Chromium-браузеров Фишинговые письма, поддельные установщики ПО
Vidar Криптокошельки, корпоративные учётные данные Вредоносная реклама, пиратский контент
Lumma Stealer Браузерные данные, токены мессенджеров Поддельные CAPTCHA-страницы, фейковые обновления браузеров

Все три активно распространяются через легитимно выглядящие каналы: рекламные объявления в поисковиках ведут на поддельные страницы загрузки популярного ПО (антивирусов, VPN-клиентов, офисных приложений). Пользователь уверен, что скачивает нужную программу.

По данным SpyCloud, в 2025 году зафиксировано 13,2 млн новых заражений инфостилерами, в результате которых украдено 642,4 млн учётных записей и 8,6 млрд сессионных cookies. При этом 40% заражений произошли на устройствах с активными антивирусными решениями — инфостилеры целенаправленно разрабатываются с учётом обхода EDR-систем (Endpoint Detection and Response — средств обнаружения и реагирования на угрозы на конечных точках).


Поддельные приложения и публичный Wi-Fi: атака через экосистему

Два вектора атак, поддельные мобильные приложения и перехват трафика в публичных сетях, объединяет одно: жертва сама создаёт условия для компрометации, не подозревая об этом. В первом случае устанавливает вредоносный код добровольно, во втором — передаёт данные через незащищённый канал.

Поддельные приложения: как это работает

Схема атаки через поддельное мобильное приложение: от создания вредоносной копии и рекламы в Telegram до кражи паролей и захвата аккаунто

Поддельное приложение — это модифицированная или полностью сфабрикованная копия легитимного мобильного клиента, в код которой встроено вредоносное ПО. Внешне такое приложение неотличимо от оригинала или даже выглядит привлекательнее за счёт обещанных «эксклюзивных» функций. Цель — добиться добровольной установки на устройство жертвы.

Схема типична: в Telegram-канале с десятками тысяч подписчиков появляется реклама: «Telegram Premium без подписки», «ВКонтакте без рекламы», «Подписка на год». Ссылка ведёт на установочный файл — модифицированное приложение с встроенным инфостилером или RAT (Remote Access Trojan, троян удалённого доступа).

Атака разворачивается в четыре последовательных шага:

  1. Распространение через доверенный канал. Реклама размещается в тематических Telegram-каналах с реальной аудиторией о технологиях, лайфхаках, бесплатном ПО. Подписчики доверяют каналу, поэтому снижают бдительность.
  2. Установка вне официального магазина. Пользователь скачивает установочный файл напрямую в обход Google Play, App Store или RuStore. Система предупреждает об установке из неизвестного источника, но большинство игнорирует это предупреждение.
  3. Запрос избыточных разрешений. При установке приложение запрашивает доступ к SMS, контактам, файловой системе, микрофону. Пользователь принимает всё — он ждёт обещанных функций.
  4. Фоновая работа вредоносного кода. Приложение функционирует как заявлено — реклама действительно исчезает или появляются дополнительные функции. Параллельно встроенный стилер или RAT собирает данные и передаёт их на сервер атакующего.

Пять признаков поддельного приложения:

  1. Распространяется вне официальных магазинов
  2. Запрашивает разрешения, не связанные с функциями приложения (доступ к SMS у «улучшенного» мессенджера)
  3. Источник — реклама в мессенджерах или сторонние сайты
  4. Обещает функции, которых нет в официальной версии
  5. Имя разработчика не совпадает с официальным

MITM-атака через публичный Wi-Fi

MITM-атака (Man-in-the-Middle, человек посередине) — перехват трафика между устройством пользователя и точкой доступа. Злоумышленник встраивается в канал связи и получает возможность читать, изменять или перенаправлять передаваемые данные.

Несмотря на повсеместное распространение HTTPS, публичные сети остаются точкой входа через три механизма:

  • SSL-stripping. Атакующий принудительно понижает соединение с HTTPS до HTTP. Браузер пользователя общается с сервером атакующего по незащищённому каналу, тот — с целевым сайтом по HTTPS. Пользователь видит сайт, но не замечает отсутствия замка в адресной строке.
  • Поддельная точка доступа. Злоумышленник создаёт Wi-Fi-сеть с названием, идентичным легитимной: «Airport_Free», «Hotel_WiFi», «CoffeeHouse_Guest». Устройство подключается автоматически, если уже подключалось к сети с таким именем раньше. Весь трафик проходит через оборудование атакующего.
  • Перехват незашифрованных запросов. Часть мобильных приложений и браузерных версий социальных сетей отправляет вспомогательные запросы без шифрования — аналитику, метаданные, служебные токены. Этого достаточно, чтобы восстановить активную сессию.

Наиболее уязвим сценарий, знакомый большинству: человек сидит в кафе или аэропорту, листает ленту или отвечает на сообщения через бесплатный Wi-Fi. Перехваченный сессионный токен даёт атакующему полный доступ к аккаунту без пароля, уведомления и без каких-либо следов входа.


Восстановление пароля как вектор атаки: эксплуатация «забыли пароль»

Схема атаки через сброс пароля: от сбора данных из открытых профилей до цепочечного захвата аккаунтов

Механизм восстановления пароля — намеренно упрощённый запасной вход в аккаунт. Его задача: помочь пользователю, который забыл пароль. Его уязвимость в том, что он опирается на личные данные, которые большинство людей публично размещают в своих же профилях в социальных сетях. Злоумышленнику достаточно нажать «Забыли пароль?» и знать кличку питомца жертвы.

Этот вектор почти полностью отсутствует в типичных обзорах безопасности, хотя эксплуатируется регулярно. До 70% ответов на типовые контрольные вопросы (девичья фамилия матери, первый автомобиль, любимый учитель) можно собрать из открытых профилей жертвы в социальных сетях.

Сценарий атаки через сброс пароля

  1. OSINT-сбор данных. Атакующий изучает открытые профили жертвы: ВКонтакте, Одноклассники, мессенджеры. Фотографии с подписями, посты о питомцах, упоминания родственников, геотеги с мест учёбы и работы — всё это источники ответов на контрольные вопросы. Сбор не требует технических навыков.
  2. Перехват письма для сброса. Если контрольные вопросы не используются, атакующий сначала компрометирует почтовый ящик жертвы через фишинг или подстановку учётных данных из утечек. Получив доступ к электронной почте, он инициирует сброс паролей на всех привязанных сервисах: социальных сетях, маркетплейсах, стриминговых платформах.
  3. Эксплуатация слабых механизмов восстановления. Часть сервисов позволяет восстановить доступ через SMS на привязанный номер. Это делает данный вектор прямым продолжением SIM-своппинга: перехватив номер жертвы, атакующий получает не только коды 2FA, но и полный контроль над механизмом сброса паролей на всех привязанных аккаунтах.
  4. Захват аккаунта. Новый пароль установлен атакующим. Жертва теряет доступ и зачастую не сразу понимает, что произошло: уведомление о смене пароля приходит на почту или номер, которые уже контролирует злоумышленник.

Особую опасность представляет эффект домино: скомпрометированная почта становится ключом ко всем сервисам, где он указан как резервный адрес для восстановления. Один взломанный почтовый ящик последовательно открывает доступ к аккаунтам в социальных сетях, облачным хранилищам с личными фото и документами, аккаунтам маркетплейсов с привязанными картами.


Что происходит с украденным аккаунтом: экономика перепродажи

Взлом аккаунта — всего лишь начало цепочки монетизации. За каждой скомпрометированной учётной записью стоит отлаженный рынок с чёткими ценами, специализацией участников и вторичным использованием данных. По данным исследования F6 (май 2025 года), украденные аккаунты в теневом интернете продаются от $10 за штуку — это самая дешёвая позиция на хакерских форумах.

Шаг 1. Первичный сбор.

Инфостилер или фишинговая кампания собирают учётные данные. Данные агрегируются и сортируются по ценности: аккаунты с большой аудиторией, привязанными платёжными данными или доступом к переписке с деловыми контактами стоят дороже.

Шаг 2. Продажа на теневых рынках.

Базы продаются оптом или поштучно на форумах в дарквебе и Telegram-каналах.

Шаг 3. Вторичное использование.

Купленный аккаунт используется для:

  • Мошенничества по контактам — рассылка просьб о переводе денег от имени знакомого или родственника жертвы.
  • Фишинга через доверенный аккаунт — сообщение от реального человека вызывает меньше подозрений, чем письмо от незнакомца.
  • Шантажа — угроза публикации личной переписки или фотографий.
  • Накрутки и продвижения — захваченные аккаунты используются для искусственного продвижения контента или накрутки голосований.
  • Подстановки учётных данных — те же пароли проверяются на других сервисах: маркетплейсах, банковских приложениях, Госуслугах.

7 мер защиты, которые работают в 2026 году

Каждая из описанных выше атак эксплуатирует конкретную слабость: повторяющийся пароль, SMS-код, открытый профиль, незащищённую сеть. Семь мер ниже закрывают эти слабости напрямую.

Тип атаки Как работает Защита
Фишинг Поддельная страница авторизации собирает логин и пароль. Жертву редиректят на настоящий сайт — она ничего не замечает Ключи доступа (passkey): привязаны к домену и не сработают на поддельном сайте
Подстановка учётных данных Пары логин/пароль из утечек автоматически проверяются на других сервисах. Работает за счёт повторного использования паролей Уникальный пароль от 16 символов на каждом сервисе
Брутфорс Автоматический перебор комбинаций — от словарных слов до всех возможных символов. Эффективен против коротких и предсказуемых паролей Длинные случайные пароли; блокировка после нескольких неудачных попыток входа
Социальная инженерия и SIM-своппинг Жертву обманом вынуждают передать код 2FA. SIM-своппинг переоформляет номер на атакующего — все SMS-коды уходят ему Отказ от SMS как второго фактора в пользу TOTP-приложения или passkey; запрет переоформления SIM без личного визита
Инфостилеры и перехват сессий Вредоносное ПО извлекает сессионный cookie из браузера. Атакующий входит в аккаунт без пароля и без 2FA — сервер видит валидный токен Установка ПО только из официальных источников; регулярная проверка активных сессий; обновление ОС и браузера
Поддельные приложения и публичный Wi-Fi Модифицированное приложение со встроенным стилером устанавливается добровольно. Публичная сеть позволяет перехватить трафик и сессионные данные Только официальные магазины (RuStore, App Store, Google Play); избегать публичных сетей для важных действий
Атака через восстановление пароля Ответы на контрольные вопросы собираются из открытых профилей за 15–20 минут. Взломанная почта открывает доступ ко всем привязанным сервисам Не использовать реальные данные в контрольных вопросах; отдельный почтовый ящик для восстановления доступа с сильным паролем и TOTP

Заключение

Заключение

Семь описанных векторов — это рабочий инструментарий, который используется злоумышленниками. Атакующему не нужно быть специалистом по безопасности: большинство атак автоматизированы и рассчитаны на типичное поведение пользователей. Подстановка паролей эксплуатирует повторное использование паролей, SIM-своппинг — доверие к SMS как фактору подтверждения, фишинг — дефицит внимания в потоке уведомлений.

Защита строится на устранении конкретных уязвимостей: уникальные пароли закрывают подстановку и брутфорс, аппаратные ключи нейтрализуют SIM-своппинг, изоляция сессий и мониторинг устройств ограничивают ущерб от инфостилеров. Каждая мера адресована конкретному вектору.

Практический первый шаг: проверьте, какие из ваших ключевых аккаунтов до сих пор используют SMS как второй фактор, и замените его на TOTP-приложение или ключи доступа (passkey). Именно через этот вектор происходит большинство захватов аккаунтов в соцсетях — и именно он устраняется быстрее всего.

CTA Image

Те же привычки, что делают личные аккаунты уязвимыми, переносятся и на рабочее место: общие пароли к корпоративным сервисам, повторное использование учётных данных, доступ к рабочим инструментам через личные устройства. Пассворк помогает выстроить управление корпоративными паролями так, чтобы каждый сотрудник работал с уникальными учётными данными — без лишней нагрузки на ИТ-команду. Протестировать можно бесплатно в облаке или локально на вашем сервере


Часто задаваемые вопросы о взломе аккаунтов в соцсетях

Часто задаваемые вопросы о взломе аккаунтов в соцсетях

Как чаще всего взламывают аккаунты в соцсетях в 2025–2026 годах?

Четыре основных метода: фишинг через поддельные страницы авторизации, подстановка учётных данных из утечек, инфостилеры — вредоносные программы, перехватывающие активные сессии прямо из браузера, — и социальная инженерия с использованием ИИ для генерации персонализированных сообщений. Большинство атак автоматизированы и не требуют от злоумышленника технической квалификации.

Помогает ли двухфакторная аутентификация защитить аккаунт?

Да, но степень защиты зависит от метода. SMS-коды уязвимы для SIM-своппинга: перехватив номер жертвы, атакующий получает все одноразовые коды. Надёжнее — приложения-аутентификаторы (TOTP, одноразовые коды на основе времени) или ключи доступа (passkey). Инфостилеры, ворующие сессионные файлы cookies из браузера, обходят любой второй фактор — они крадут уже готовый результат аутентификации.

Что такое подстановка учётных данных и чем она отличается от брутфорса?

Подстановка учётных данных (credential stuffing) использует реальные пары логин+пароль из утёкших баз и автоматически проверяет их на других сервисах — расчёт на то, что пользователь повторяет одни и те же пароли. Брутфорс (атака полным перебором) перебирает все возможные комбинации символов без опоры на известные данные. Подстановка быстрее и эффективнее при массовых атаках. Брутфорс применяется против конкретных аккаунтов с короткими или простыми паролями.

Может ли инфостилер обойти двухфакторную аутентификацию?

Да. Инфостилер (вредоносная программа для кражи данных) извлекает не пароль, а уже активный сессионный файл cookie из браузера. Этот файл подтверждает, что аутентификация уже прошла: сервер не запрашивает ни пароль, ни код подтверждения повторно. Атакующий загружает перехваченный файл в свой браузер и получает полный доступ к аккаунту — без каких-либо следов входа.

Как злоумышленники зарабатывают на украденных аккаунтах?

Взлом — начало цепочки монетизации. Аккаунты продаются на теневых форумах от $10 за штуку. Покупатели используют их для мошенничества по контактам жертвы, рассылки фишинга от имени реального человека, шантажа личной перепиской, накрутки голосований и проверки тех же паролей на банковских приложениях и маркетплейсах. Аккаунт с большой аудиторией или историей деловых контактов стоит в разы дороже.

Что такое SIM-swap и как от него защититься?

SIM-своппинг — переоформление номера телефона жертвы на SIM-карту атакующего через оператора связи. После этого все входящие SMS с кодами подтверждения поступают злоумышленнику, а не владельцу номера. Защита: отказаться от SMS как второго фактора в пользу приложений-аутентификаторов или ключей доступа (passkey). Установить у оператора связи запрет на переоформление SIM-карты без личного визита с паспортом.

Как восстановление пароля превращается в вектор атаки?

Атакующий собирает из открытых профилей жертвы ответы на контрольные вопросы — кличку питомца, девичью фамилию матери, название первой школы. Либо сначала компрометирует привязанный почтовый ящик через фишинг или подстановку паролей. Затем инициирует сброс через кнопку «Забыли пароль?» и устанавливает новый пароль. Защита: не использовать реальные данные в ответах на контрольные вопросы.

Как понять, что аккаунт уже взломан?

Четыре признака, которые видны без специальных инструментов: незнакомые устройства или нетипичные локации в списке активных сессий; уведомления о входе, которые вы не инициировали; сообщения, отправленные от вашего имени без вашего ведома; изменение привязанного номера телефона или почты. Большинство социальных сетей показывают историю входов в настройках безопасности.

Опасно ли подключаться к публичному Wi-Fi?

Публичные сети создают условия для атаки типа «человек посередине» (MITM, Man-in-the-Middle) — перехвата трафика между вашим устройством и точкой доступа. Злоумышленник может создать поддельную сеть с названием, идентичным легитимной («Airport_Free», «Hotel_WiFi»), и перехватить сессионные данные. Для важных действий избегайте публичных сетей или используйте мобильный интернет.

Что такое фишинг как услуга и почему атаки стали массовыми?

Фишинг как услуга (PhaaS, Phishing-as-a-Service) — готовые наборы инструментов для проведения фишинговых атак, которые продаются на теневых форумах. В комплект входят поддельные страницы авторизации, боты для сбора данных и панели управления с аналитикой. Порог входа — несколько тысяч рублей и минимальные технические навыки. Именно поэтому число фишинговых атак растёт: их больше не нужно создавать с нуля.

Что такое брутфорс (Brute Force): виды, угрозы и защита
В первом квартале 2025 года число брутфорс-атак на российские организации выросло в 2,7 раза. 48% паролей из реальных утечек взламываются за минуту. Разбираем 8 техник перебора, объясняем, чем ИИ изменил атаки, и даём конкретные меры защиты: от парольной политики до управления учётными записями.
11 способов взлома паролей, которые хакеры используют в 2026 году
Больше половины паролей можно подобрать меньше чем за час. Но брутфорс уже не главная угроза. Инфостилеры, AiTM-фишинг, PassGAN и обход MFA — разбираем 11 актуальных методов взлома паролей в 2026 году и даём конкретный чек-лист защиты.
Авторизация и аутентификация: в чем разница и почему это важно
Идентификация, аутентификация, авторизация — в чём разница и почему это важно для безопасности. Рассмотрим термины, модели доступа RBAC и ABAC, MFA, Passkeys и Zero Trust с примерами.

7 способов взлома соцсетей: как воруют аккаунты в 2026 году

Число взломов аккаунтов в соцсетях выросло на 123% за год. Разбираем 7 методов, которые используют злоумышленники прямо сейчас, — и что конкретно закрывает каждый из векторов.

29 июня 2026 г.
Брутфорс в 2026 году: что такое атака перебором и как защититься
Брутфорс (от англ. brute force — «грубая сила», атака полным перебором) — метод получения несанкционированного доступа к системе путём автоматизированного перебора возможных комбинаций учётных данных: паролей, токенов, ПИН-кодов или ключей шифрования.

В первом квартале 2025 года сеть ханипотов (ловушек) ГК «Солар» зафиксировала 570 тысяч брутфорс-атак на российские организации — в 2,7 раза больше, чем кварталом ранее, 94% от всех зафиксированных событий. Топливо для этого роста — базы утёкших учётных данных. По данным Positive Technologies, логины и пароли похищались в каждом пятом успешном инциденте 2025 года — наравне с коммерческой тайной и персональными данными, и их доля в инцидентах растёт: с 13% в 2022-м до 19% в 2025-м. Похищенное немедленно попадает в оборот через брокеров первоначального доступа на теневых платформах и становится готовым материалом для прицельного перебора.

Базовая механика брутфорс-атак всё та же: перебирать комбинации до первого совпадения. Изменился инструментарий, масштаб и приоритеты:

  • Скорость GPU-кластеры перебирают миллиарды хешей в секунду.
  • Точность — ИИ анализирует массивы утечек и строит словари под конкретную жертву.
  • Незаметность — распределённые ботнеты и обратный перебор разбивают атаку на тысячи запросов с разных адресов.
  • Охват — одна утечка становится материалом для атак на сотни сервисов, где пользователь мог применять тот же пароль или логин.

В результате атака, которая раньше была шумной и медленной, стала точечной, быстрой и трудноуловимой для большинства стандартных средств защиты.


Главное

  • Брутфорс — это атака на предсказуемость, не на криптографию. Злоумышленник перебирает комбинации до совпадения. Атака работает, потому что люди выбирают пароли по одним и тем же паттернам: словарные фразы, даты, корпоративные шаблоны.
  • Масштаб угрозы растёт быстро. В первом квартале 2025 года сеть ханипотов ГК «Солар» зафиксировала 570 тысяч брутфорс-атак на российские организации — в 2,7 раза больше, чем кварталом ранее. Глобально доля брутфорса в атаках на веб-приложения выросла с ~20% до 60%.
  • Современный брутфорс — точечный и трудноуловимый. GPU-кластеры перебирают сотни миллиардов хешей в секунду, ИИ-модели строят словари под конкретную жертву, ботнеты разбивают атаку на тысячи запросов с разных адресов. То, что раньше было шумной массовой кампанией, стало незаметной точечной операцией.
  • Брутфорс — семейство техник, каждая эксплуатирует свою слабость. Простой перебор бьёт по коротким паролям, словарные атаки — по предсказуемым, подстановка учётных данных — по повторно используемым, распыление паролей — по отсутствию мониторинга аномалий. Понимание механики каждого метода определяет выбор защитных мер.
  • Защита строится на нескольких независимых уровнях. Длинные случайные пароли, уникальные для каждого сервиса, многофакторная аутентификация, правильное хеширование с солением, ограничение попыток входа и поведенческий мониторинг — каждый уровень закрывает свой вектор.
  • Корневая причина большинства инцидентов — человеческий фактор. Политика запрещает слабые пароли, но не делает правильное поведение удобным. Корпоративный менеджер паролей устраняет эту проблему на уровне процесса: генерирует случайные строки, исключает ручной ввод, выявляет слабые и устаревшие учётные данные централизованно.

Что такое брутфорс (Brute Force)

Брутфорс (от англ. brute force — «грубая сила», атака полным перебором) — метод получения несанкционированного доступа к системе путём автоматизированного перебора возможных комбинаций учётных данных: паролей, токенов или ключей шифрования.

Атака не требует знания алгоритмов шифрования или эксплуатации уязвимостей в коде — злоумышленник перебирает варианты до тех пор, пока один из них не подойдёт. Скорость и успех определяются двумя факторами: вычислительной мощностью атакующего и сложностью целевого пароля.

Брутфорс остаётся эффективным по одной причине: люди выбирают предсказуемые комбинации. Задача атакующего — сократить время перебора до практически приемлемого. Фермы GPU и ИИ-генерация словарей решают эту задачу с каждым годом всё быстрее.

Ключевые цифры: брутфорс и кража учётных данных (2024–2026)

Показатель Значение Источник
Рост числа брутфорс-атак в России (I кв. 2025 против IV кв. 2024) +172,3% Solar 4RAYS, 2025
Страны с наибольшим числом атак на ханипоты (США, Китай, Россия, Индия) 51% всех зафиксированных атак Solar 4RAYS, 2025
Доля России среди всех успешных кибератак в мире (июль 2024 — сентябрь 2025) 14–16% Positive Technologies, CODE RED 2026
Тактический сдвиг: от массовых сканирований к точечным атакам Число атакованных орг. −34,18%, интенсивность ×3,3 Solar 4RAYS, 2025
Доля атак на идентификационные данные с использованием брутфорса (глобально) 97% Microsoft MDDR 2025
Рост доли брутфорса в атаках на веб-приложения (глобально, 2024→2025) с ~20% до 60% Verizon DBIR 2025
Рост объёма скомпрометированных учётных данных (глобально, 2024→2025) +160% Check Point / Specops, 2025
Доля корпоративных учётных записей, хотя бы раз попавших в утечки (Россия) каждая 15-я (~6,7%) BI.ZONE Digital Risk Protection, 2026
Доля слабых паролей среди похищенных (по данным инфостилеров) 98,5% Specops / Outpost24, 2025
Средняя минимальная длина пароля в российских компаниях (факт/рекомендация) 9 символов / рек. 12–14 BI.ZONE Digital Risk Protection, 2026

Как работает брутфорс

Технически брутфорс — это автоматизация: скрипт или специализированный инструмент последовательно отправляет комбинации учётных данных на точку аутентификации, фиксирует совпадения и продолжает перебор. Точка аутентификации может быть любой: форма входа, SSH и RDP-сервисы, API-шлюзы, административные панели. Если система принимает логин и пароль, она становится потенциальной мишенью.

Блок-схема «Как работает брутфорс-атака»: злоумышленник управляет ботнетом из четырёх ботов, которые отправляют множество попыток входа в целевую систему. Если пароль неверный — цикл повторяется с новыми учётными данными. Если верный — злоумышленник получает несанкционированный доступ и входит в систему.

Онлайн- и офлайн-атаки

Брутфорс реализуется в двух принципиально разных контекстах, и это различие определяет как скорость атаки, так и методы защиты.

  • Онлайн-атака — попытки в реальном времени против живой системы: форма входа на сайте или SSH-сервис. Скорость ограничена сетевыми задержками и защитными механизмами: ограничением частоты запросов, CAPTCHA, блокировки по IP-адресу.
  • Офлайн-атака — атакующий уже получил хеши паролей, например из утечки баз данных, и перебирает их локально на собственном железе. Никаких ограничений со стороны жертвы или задержек сети.

Это разграничение важно для понимания защитных мер: ограничение попыток входа эффективно против онлайн-атак, но бесполезно, если хеши уже утекли. Надёжное хеширование паролей на стороне сервера — единственная защита от офлайн-перебора.

Инструменты атакующих и пентестеров

Для автоматизации перебора используются специализированные инструменты с открытым исходным кодом. Те же программы применяются легитимно при пентестинге и аудите безопасности.

Офлайн-перебор:

  • Hashcat — наиболее производительный инструмент для взлома хешей без подключения к сети, поддерживает GPU-ускорение и сотни алгоритмов хеширования.
  • John the Ripper — универсальный инструмент восстановления паролей, поддерживает хеши Unix, Windows, баз данных и документов.

Онлайн-перебор:

  • THC Hydra — перебор учётных данных по сети против SSH, RDP, FTP, HTTP-форм и десятков других протоколов.
  • Medusa — параллельный перебор на большом числе целей одновременно, ориентирован на скорость при массовых проверках.
  • Ncrack — инструмент от команды Nmap, разработан для высокоскоростного перебора сетевых служб, отличается гибкой настройкой нагрузки на цель.
  • Burp Suite (Intruder) — перебор в веб-приложениях: формы входа, параметры запросов, токены сессий.

Анализ беспроводных сетей:

  • Aircrack-ng — набор инструментов для анализа безопасности Wi-Fi-сетей, включая перебор ключей WPA/WPA2.
Использование этих инструментов без письменного разрешения владельца тестируемой системы квалифицируется как неправомерный доступ к компьютерной информации (ст. 272 УК РФ)

Как изменились брутфорс-атаки в 2025–2026 годах

Перебор паролей перестал быть атакой грубой силы. Машинное обучение, доступное GPU-железо и распределённые ботнеты сделали его точечным, масштабируемым и трудноотличимым от легитимного трафика. Четыре сдвига определяют текущий ландшафт угроз.

Нейросети как генераторы словарей

Алгоритмы машинного обучения анализируют миллиарды утёкших паролей и выявляют поведенческие паттерны: типичные замены символов (@ вместо а, 0 вместо о), способы добавления цифр и спецсимволов, предсказуемые структуры. Итог — словари, которые проверяют не все комбинации, а наиболее вероятные.

В тестах на датасете RockYou ИИ-модель PassGAN взломала 51% популярных паролей менее чем за минуту, 71% — менее чем за день, 81% — менее чем за месяц (SecurityLab.ru, 2023).

Мощность современного железа

Видеокарты становятся мощнее с каждым годом. RTX 4090 перебирала MD5-хэши со скоростью до 164 млрд в секунду. RTX 5090 делает то же самое на 34% быстрее — 220 млрд хэшей в секунду. При этом дорогостоящее железо — не обязательное условие: облачная аренда GPU обходится от нескольких десятков до нескольких сотен рублей в час.

Исследование Лаборатории Касперского, охватившее 231 млн уникальных паролей из утечек даркнета за 2023–2026 годы, показало: 48% паролей взламываются менее чем за минуту, 60% — менее чем за час. Для сравнения: в аналогичном исследовании 2024 года этот показатель составлял 59%.

Ботнеты и распределённые атаки

Ботнет — это сеть скомпрометированных устройств (серверов, маршрутизаторов, IoT-оборудования, домашних компьютеров). Каждый узел действует независимо, но скоординированно: отправляет запросы, зондирует системы, подбирает учётные данные. Масштаб — миллионы машин одновременно.

Главное преимущество такой архитектуры — обход IP-фильтрации. Попытки входа распределяются по тысячам адресов из разных стран, и каждая из них выглядит как обычный пользовательский запрос.

Пример: кампания, которую Shadowserver Foundation зафиксировал в начале 2025 года. Ежедневно 2,8 млн IP-адресов из Бразилии, Турции, России, Аргентины и других стран атаковали VPN-шлюзы и межсетевые экраны Palo Alto Networks, Ivanti и SonicWall. Атакующими узлами служили скомпрометированные маршрутизаторы и IoT-устройства MikroTik, Huawei, Cisco, Boa и ZTE — типичная инфраструктура крупного ботнета. Трафик шёл через сети резидентных прокси: злоумышленники использовали IP-адреса реальных пользователей интернет-провайдеров, что делало их запросы неотличимыми от легитимных (ComNews, 2025).

Квантовые вычисления: горизонт угрозы

Квантовые компьютеры пока не существуют в промышленном масштабе, но меняют логику долгосрочного планирования. Современная асимметричная криптография (в частности, RSA) основана на вычислительной сложности, которая для квантовых машин принципиально иная. Исследования показывают: по мере роста возможностей квантовых систем временной горизонт до практического взлома актуальных ключей продолжает сокращаться.

Организации, работающие с данными с длинным сроком конфиденциальности, уже сейчас включают постквантовые алгоритмы шифрования в стратегию безопасности. Подробнее — в нашей статье «Постквантовая криптография: почему данные под угрозой уже сейчас».

Зачем атакуют: мотивы за брутфорсом

Брутфорс — инструмент первичного доступа. Далее взломанные учётные данные открывают путь к тому, что действительно нужно атакующему.

Мотив Цель атакующего Типичные жертвы
Кража данных Финансовые реквизиты, персональные данные, коммерческая тайна (для продажи в даркнете, фишинга или шантажа) Банки, ритейл, медицина, HR-системы
Каскадная компрометация Взлом одного аккаунта как точка входа: горизонтальное перемещение → привилегированный доступ → полный контроль над инфраструктурой Корпоративные сети, VPN, RDP
Формирование ботнетов Включение устройств в инфраструктуру для DDoS-атак, спама или новых брутфорс-кампаний Серверы, маршрутизаторы, IoT
Захват вычислительных ресурсов Майнинг криптовалюты на чужом железе (cryptojacking) без ведома владельца Облачные среды, серверы с GPU
Монетизация через рекламные сети Спам-реклама, редирект трафика, внедрение spyware для сбора поведенческих данных Сайты на CMS, интернет-магазины
Хактивизм Дефейс, слив данных, вывод сервисов из строя в знак протеста или в рамках кибервойны Госструктуры, СМИ, публичная инфраструктура
Кибершпионаж Долгосрочный скрытый доступ к закрытым данным в интересах государства или конкурента КИИ, оборонные предприятия, НИОКР
Репутационный ущерб Размещение нежелательного контента, дискредитация организации Госструктуры, компании с публичной репутацией

Виды брутфорс-атак в 2026 году

Брутфорс — это целое семейство техник. Каждая эксплуатирует конкретную слабость: короткий пароль, предсказуемый выбор, повторное использование или мягкие политики блокировки.

Простой брутфорс (Brute Force)

Схема работы простого брутфорса: бот последовательно подбирает пароли к целевой системе, при неверном варианте возвращается к перебору, при верном — получает доступ.

Простой брутфорс (полный перебор, Brute Force) — метод взлома пароля путём последовательного перебора всех возможных комбинаций символов в заданном пространстве поиска: aaaa, aaab, aaac. Атака не использует никаких предположений о структуре пароля. Метод гарантирует результат при достаточных вычислительных ресурсах и времени, но масштабируется плохо: сложность растёт экспоненциально с длиной пароля.

Эффективен против коротких паролей — до 6–8 символов. Против 12-символьных без специализированного железа практически бесполезен. Шестисимвольный пароль из строчных букв даёт 26⁶ ≈ 308 миллионов комбинаций — современное железо проходит их мгновенно. Двенадцатисимвольный пароль из букв, цифр и символов даёт порядка 500 секстиллионов вариантов.

Где встречается: атаки на SSH-сервисы с короткими или дефолтными паролями, взлом ПИН-кодов, офлайн-перебор хешей из утечек.

На практике чистый перебор применяется редко. Против длинных паролей атакующие используют гибридные словари: типичные замены, шаблоны корпоративных паролей и базы из реальных утечек. Пароль Password123! формально соответствует требованиям сложности (12 символов, буквы, цифры, спецсимвол) но входит в первые строки любого современного словаря. Длина защищает от перебора, предсказуемость структуры — нет.

Атака по словарю (Dictionary Attack)

хема атаки по словарю: бот берёт пароли из готовой базы и поочерёдно проверяет их на целевой системе — при неверном варианте переходит к следующему, при верном получает доступ.

Атака по словарю (Dictionary Attack) — метод взлома пароля, при котором перебор ведётся не по всему пространству комбинаций, а по заранее подготовленному списку вероятных кандидатов: реальных паролей из утечек, распространённых слов и предсказуемых последовательностей (например, словарь rockyou.txt содержит 14 миллионов записей). Алгоритм проверяет не aaaa0001, а p@rol12, qwerty, admin123 — то, что люди действительно используют.

Скорость выше, чем у простого брутфорса, в десятки и сотни раз: словарь из миллиона записей проверяется за секунды. Эффективность определяется качеством словаря — чем свежее и полнее база утечек, тем выше вероятность попадания. ИИ-инструменты вроде PassGAN выводят этот метод на новый уровень. Модель обучается на реальных паролях и генерирует статистически вероятные кандидаты, которых нет ни в одном статическом словаре.

Где встречается: атаки на веб-формы, SSH, RDP, офлайн-взлом хешей из утечек баз данных.

Почему словари работают. Лаборатория Касперского проанализировала 231 миллион скомпрометированных паролей из утечек 2023–2026 годов. Картина предсказуема: 53% паролей заканчиваются цифрами, 12% содержат последовательность, похожую на дату, 3% — последовательность клавиш (qwerty или йцукен). В российских паролях стабильно встречаются имена и характерный приём — русские слова, набранные латиницей: gfgf (папа), vfvf (мама), gfhjkm (пароль). Всё это — первые строки любого актуального словаря (Лаборатория Касперского, 2026).

Подстановка учётных данных (Credential Stuffing)

Схема подстановки учётных данных: бот берёт готовые пары логин/пароль из базы утечек и автоматически проверяет их на разных сервисах — при совпадении получает доступ, при несовпадении переходит к следующей паре.

Подстановка учётных данных (Credential Stuffing) — автоматизированная атака, при которой злоумышленник использует готовые пары логин/пароль из ранее утёкших баз данных для получения доступа к другим сервисам. Взлом пароля не требуется: ставка делается на повторное использование одних и тех же учётных данных на разных платформах.

Масштаб проблемы огромен: по данным Have I Been Pwned, к середине 2026 года накоплено более 17 миллиардов записей скомпрометированных аккаунтов — цифра включает повторения из разных утечек, но даже с поправкой на дубли объём уникальных учётных данных исчисляется миллиардами. Этого достаточно, чтобы обеспечить атакующих материалом на годы вперёд.

В первом полугодии 2025 года около половины всех веб-атак на российский госсектор приходилось на перебор и большую их часть составляла именно подстановка учётных данных (Anti-Malware.ru, июль 2025).

Метод масштабируется через ботнеты: тысячи IP-адресов отправляют по одному запросу, имитируя обычный пользовательский трафик.

Единственная защита: уникальный пароль на каждый сервис. Подробнее о том, как инфостилеры питают базы для атаки подстановкой — в нашем материале «11 способов взлома паролей, которые хакеры используют в 2026 году».

Распыление паролей (Password Spraying)

Схема распыления паролей: бот проверяет один пароль последовательно против тысяч учётных записей — при совпадении получает доступ, при несовпадении переходит к следующему аккаунту.

Распыление паролей (Password Spraying) — метод атаки на аутентификацию, при котором один пароль последовательно проверяется против большого числа учётных записей. Логика обратная классическому брутфорсу: не множество паролей против одного аккаунта, а один пароль против тысяч аккаунтов.

Атакующий берёт самые популярные пароли (123456789, kompania2026!, Qwerty123) и последовательно проверяет их на всей базе пользователей организации.

Главная опасность этого метода — невидимость для стандартных средств защиты: большинство систем реагируют на множество неудачных попыток входа в один аккаунт, но не замечают единичных попыток против тысяч разных. Порог блокировки не достигается — атака может длиться неделями, не вызывая алертов.

Эффективность определяется предсказуемостью паролей в целевой организации. Атакующий использует закономерности: корпоративные шаблоны вида Компания+год, типовые временные пароли для новых сотрудников, которые те не меняют вовремя. Чем крупнее организация, тем выше вероятность, что хотя бы один сотрудник из тысячи использует типовой пароль.

Где встречается: атаки на Active Directory, корпоративные VPN-порталы.

По данным «Солар» (DSEC) по итогам 2025 года, в 53% организаций слабые или стандартные пароли стали основной уязвимостью внутреннего периметра. В 73% случаев сотрудники использовали пароли по умолчанию или один и тот же пароль для нескольких учётных записей — каждая из таких записей потенциальная точка входа для атаки методом распыления (Forbes, март 2026).

Гибридная атака (Hybrid Attack)

Схема гибридной атаки: бот берёт слово из словаря, применяет к нему систематические мутации и проверяет каждый вариант на целевой системе — при совпадении получает доступ, при несовпадении генерирует следующую мутацию.

Гибридная атака (Hybrid Attack) — метод взлома паролей, сочетающий словарный перебор с автоматическими мутациями базовых слов. Алгоритм не перебирает все возможные комбинации, а воспроизводит предсказуемые человеческие шаблоны: добавляет цифры в конец (admin2026), заменяет буквы символами (@dmin), вставляет спецсимволы (Admin!), меняет регистр (ADMIN, Admin).

Именно этот метод взламывает пароли, которые формально соответствуют политике сложности. Admin2026! содержит заглавную букву, цифры и спецсимвол — и при этом вскрывается за секунды: структура шаблонная, и гибридные алгоритмы знают её наизусть. Требование «добавить спецсимвол» без требования случайности создаёт ложное ощущение защиты.

ИИ-модели усиливают атаку: PassGAN и аналогичные инструменты обучаются на миллионах реальных паролей и генерируют мутации, которые не входят ни в один статический словарь. Вместо перебора всех вариантов подряд модель предсказывает, какой именно пароль мог создать конкретный человек и начинает с наиболее вероятных.

Где встречается: офлайн-взлом хешей из утечек баз данных, атаки на корпоративные системы с формальными требованиями к сложности паролей.

Эффективная парольная политика строится на трёх принципах: длина (от 12–15 символов), случайность (никаких словарных слов и предсказуемых замен) и уникальность (отдельный пароль для каждого сервиса). Пароль xK9#mP2$vL7@nQ4 гибридный алгоритм не взломает — у него нет базового слова, которое можно мутировать.

Атака по радужным таблицам (Rainbow Table Attack)

Схема атаки по радужным таблицам: злоумышленник получает базу хэшей из утечек, проводит офлайн-взлом с поиском совпадений по радужной таблице, находит совпадение и восстанавливает исходный пароль.

Атака по радужным таблицам (Rainbow Table Attack) — офлайн-метод взлома хешей, основанный на предвычислении. Вместо того чтобы хешировать каждый кандидат в момент атаки, атакующий заранее строит таблицу соответствий «пароль → хеш» для множества вариантов. При получении хеша из утечки он просто ищет совпадение в готовой таблице.

Радужная таблица — предвычисленная структура данных для офлайн-атаки на хеши паролей. Хеш — результат математического преобразования (напимер, пароль qwerty система может сохранять в виде хеша d8578edf...).

При аутентификации введённый пароль пользователя хешируется и сравнивается с сохранённым значением. Атакующий, получив базу хешей из утечки, решает обратную задачу: перебирает кандидатов, хеширует каждый и ищет совпадение.

Контрмера — соление хешей (salting). К каждому паролю перед хешированием добавляется уникальная случайная строка (соль), хранящаяся отдельно. Даже если два пользователя используют одинаковый пароль, их хеши будут разными. Для каждого потребовалась бы отдельная радужная таблица — это полностью нивелирует преимущество метода.

Где встречается: офлайн-атаки на базы данных с устаревшим хешированием (MD5, SHA-1 без соли).

Распределённый брутфорс через ботнет

Схема показывает три ключевых слоя: командный центр, распределённую сеть узлов и цель — с явным указанием, почему стандартные средства защиты не работают.

Распределённый брутфорс через ботнет — метод перебора учётных данных, при котором атака распределяется между тысячами скомпрометированных устройств под управлением единого командного сервера (коодринатора). Каждый узел ботнета отправляет минимальное число запросов — достаточно малое, чтобы не вызвать блокировку, но в совокупности обеспечивающее высокую скорость перебора.

Главная проблема онлайн-атак — видимость. Классический брутфорс с одного IP мгновенно попадает под блокировку. Распределённая схема снимает это ограничение: тысячи домашних роутеров, IoT-оборудования и корпоративных серверов, включённых в ботнет без ведома владельцев, генерируют трафик, неотличимый от легитимного.

Обнаружение таких атак требует поведенческого анализа. Релевантные метрики: число уникальных неудачных попыток на один аккаунт за период и географическое разнообразие источников трафика. Аномальный разброс по странам при стабильном числе ошибок аутентификации — характерный признак ботнет-кампании.

Где встречается: атаки на VPN-порталы, корпоративные почтовые серверы, публично доступные административные панели.

ИИ-брутфорс (AI-Assisted Brute Force)

Схема работы ИИ-брутфорса: пять этапов атаки — сбор данных из утечек, обучение моделей GAN/LLM, выявление паттернов и генерация кандидатов, отправка в целевую систему, проверка пароля. При неверном пароле — новая попытка; при верном — злоумышленник получает доступ.

ИИ-брутфорс (AI-Assisted Brute Force) — применение моделей машинного обучения для приоритизации кандидатов при переборе паролей. Вместо последовательного перебора всех комбинаций модель, обученная на миллиардах реальных паролей из утечек, предсказывает наиболее вероятные варианты для конкретного пользователя или организации и начинает атаку с них.

Традиционный словарь — статичный список. ИИ-модель — генератор, который строит кандидатов на основе выявленных паттернов: как люди трансформируют слова, какие замены используют, как добавляют цифры и символы в зависимости от контекста (корпоративная среда, страна, отрасль).

Второй вектор — предсказание путей атаки. Модели анализируют структуру корпоративной сети и паттерны именования учётных записей (имя.фамилия@компания.ru), выбирая точки входа с наибольшей вероятностью успеха. Брутфорс превращается из массовой кампании в точечную операцию.

Пароль, созданный по человеческому паттерну, уязвим: ИИ знает эти паттерны лучше, чем их осознаёт сам пользователь. Единственный надёжный ответ — криптографически случайная строка достаточной длины, сгенерированная менеджером паролей.

Где встречается: целевые атаки на корпоративные системы идентификации, Active Directory, привилегированные учётные записи.

Сравнительная таблица: виды брутфорс-атак и способы защиты

Метод атаки Что эксплуатирует Как защититься
Простой брутфорс Короткий пароль Длина от 12 символов
Атака по словарю Предсказуемый выбор пароля Случайные пароли без словарных слов
Подстановка учётных данных Повторное использование паролей Уникальный пароль на каждый сервис + МФА
Распыление паролей Отсутствие порога блокировки Запрет предсказуемых шаблонов, мониторинг аномалий по всем аккаунтам
Гибридная атака Формальное соответствие политике сложности Случайность вместо сложности: xK9#mP2$vL7@ вместо Admin2026!
Радужные таблицы Хеши без соли (MD5, SHA-1) Соление хешей, современные алгоритмы
Распределённый брутфорс Отсутствие поведенческого анализа Поведенческий анализ: аномалии по географии и числу ошибок аутентификации
ИИ-брутфорс Любой человеческий паттерн в пароле Криптографически случайные пароли, сгенерированные менеджером паролей
CTA Image

Большинство атак из этой таблицы (от словарного перебора до ИИ-брутфорса) становятся неэффективными, если каждый сотрудник использует уникальный случайный пароль. Пассворк генерирует и хранит такие пароли централизованно, поддерживает MFA и ключи доступа (passkeys), разграничивает доступ по ролям и ведёт журнал действий. Протестировать можно бесплатно — локально на вашем сервере или в облаке.


Как защититься от брутфорса

Защита от брутфорса строится на нескольких независимых уровнях. Компрометация одного не означает компрометацию остальных.

Парольная политика

Минимальная длина — 12–16 символов. Длина важнее набора спецсимволов: пароль Financi2026! требует на несколько порядков больше вычислительных ресурсов — атака становится нецелесообразной.

Каждый сервис требует уникального пароля. Повторное использование паролей превращает одну утечку в компрометацию всей инфраструктуры: атакующий берёт пару логин/пароль из слитой базы и последовательно проверяет её на всех корпоративных системах и сервисах.

Словарные фразы, имена, даты рождения и названия компании — под запретом. Эти паттерны первыми попадают в словари атакующих.

Там, где пароль нужно запомнить, парольная фраза из четырёх случайных слов (например, лошадь-скрепка-батарея-штапель) стойче и удобнее, чем обычный пароль.

Многофакторная аутентификация (MFA)

MFA блокирует подавляющее большинство атак с использованием украденных паролей: даже корректная пара логин/пароль не даёт доступа без второго фактора.

Приоритет — аппаратные ключи FIDO2/WebAuthn и приложения-аутентификаторы (TOTP). SMS-коды уязвимы к SIM-свопингу — злоумышленник переоформляет номер на подконтрольную SIM-карту и перехватывает одноразовые коды. Тем не менее SMS лучше, чем отсутствие второго фактора.

Для привилегированных учётных записей (администраторов, DevOps, финансового блока) аппаратный ключ должен быть обязательным.

Технические ограничения на стороне сервера

Брутфорс работает за счёт скорости — серверные ограничения эту скорость убивают. После каждой неудачной попытки входа система увеличивает паузу перед следующей: сначала несколько секунд, затем минуты, затем — полная блокировка аккаунта. Важно: блокировка должна распространяться на учётную запись, а не только на IP — распределённые атаки через ботнеты меняют адреса при каждой попытке.

CAPTCHA отсекает автоматизированные скрипты, но не CAPTCHA-фермы, где задачи решают живые люди или ИИ. Полагаться на неё как на единственный барьер не стоит.

Геоблокировка и поведенческий анализ в связке с SIEM (система управления событиями безопасности) эффективны против распределённых атак: вход из нетипичной географии или в нетипичное время — повод для дополнительной верификации, а не автоматического пропуска.

Хранение паролей: хеширование и соление

Алгоритмы MD5 и SHA-1 взламываются за секунды на современном GPU — они не предназначались для хеширования паролей. Современные bcrypt, Argon2 и scrypt спроектированы намеренно медленными: каждая попытка перебора стоит вычислительных ресурсов, что делает офлайн-атаку на украденную базу хешей бессмысленной.

Соление нейтрализует атаки по радужным таблицам. К каждому паролю перед хешированием добавляется уникальная случайная строка — соль. Два одинаковых пароля дают разные хеши, предвычисленные таблицы становятся бесполезными.

Мониторинг и реагирование

Брутфорс оставляет характерные следы: серии неудачных попыток входа, множество IP-адресов против одной учётной записи, нетипичное время активности, географические аномалии. Эти паттерны должны автоматически триггерить алерты — ручной просмотр логов их не поймает вовремя.

Отдельная угроза — брутфорс как дымовая завеса. Пока SIEM перегружен тысячами неудачных попыток, параллельно может идти тихая целенаправленная атака: медленное распыление паролей, эксплуатация уязвимости в смежной системе или фишинг конкретного сотрудника. Высокий брутфорс-трафик — повод проверить не только журнал аутентификации, но и всю картину активности в сети.

Управление учётными записями

Аккаунты уволенных сотрудников, технические учётные записи подрядчиков, сервисные пользователи с паролями по умолчанию — активные векторы атаки. Атакующий не ищет слабое место в защищённой системе, если рядом есть забытая учётная запись с паролем admin123, которую никто не трогал два года.

Регулярный аудит активных учётных записей и немедленное удаление неиспользуемых закрывает этот вектор системно. Интеграция с AD/LDAP позволяет автоматизировать отзыв доступа при увольнении.

Корпоративный менеджер паролей как системное решение

Технические меры защищают периметр, но не устраняют корневую причину большинства инцидентов — человеческий фактор. Сотрудники создают слабые пароли, повторно используют их на разных сервисах, хранят в таблицах и передают через мессенджеры. Политика запрещает это, но не делает правильное поведение удобным.

Корпоративный менеджер паролей закрывает уязвимость на уровне процесса: генератор создаёт криптографически случайные строки, автозаполнение исключает ручной ввод и перехват, панель безопасности выявляет слабые и повторно используемые пароли по всей организации. Администратор видит полную картину и может инициировать смену проблемных паролей централизованно, не дожидаясь инцидента.


Пассворк: управление паролями как элемент защиты от брутфорса

Интерфейс корпоративного менеджера паролей Пассворк

Пассворк — корпоративный менеджер паролей, доступный в двух вариантах развёртывания:

  • Коробочная версия устанавливается на серверах организации: все данные остаются внутри периметра, что критично для компаний с требованиями к локализации данных.
  • Облачная версия разворачивается в управляемой инфраструктуре без затрат на собственное железо с теми же функциями безопасности.

В обоих случаях реализована архитектура нулевого знания: учётные данные шифруются на стороне клиента до передачи на сервер. Это означает, что даже при компрометации серверной части злоумышленник получает только зашифрованный массив.

Разберём, какие векторы брутфорса закрывает Пассворк и за счёт каких механизмов.

Проблема: слабые и предсказуемые пароли

Сотрудники создают пароли по шаблонам — именно такие пароли взламывают первыми.

Решение: встроенный генератор создаёт криптографически случайные пароли заданной длины по правилам, установленным пользоваетелем. Сотрудник не придумывает пароль — он получает случайную строку, которую не нужно запоминать. Человеческий фактор при создании учётных данных исключён.

0:00
/0:23

Панель безопасности автоматически выявляет слабые пароли, не соответствующие политике сложности, и устаревшие — не менявшиеся дольше установленного порога. Администратор инициирует принудительную смену проблемных учётных данных в один клик.

Панель безопасности Пассворка

Проблема: ручной ввод пароля

Сотрудники вводят пароли вручную, копируют их из таблиц, видят в буфере обмена. Каждое из этих действий — потенциальная утечка.

Решение: браузерное расширение Пассворка автоматически заполняет учётные данные на сайтах и в веб-приложениях. Сотрудник не видит пароль в открытом виде — расширение подставляет его напрямую в форму.

Доступ к расширению защищён отдельным ПИН-кодом: после нескольких неудачных попыток ввода расширение блокируется автоматически.

Проблема: отсутствие второго фактора

Скомпрометированный пароль без многофакторной аутентификации даёт злоумышленнику немедленный доступ.

Решение: Пассворк поддерживает многофакторную аутентификацию (MFA) в нескольких форматах:

  • Приложение-аутентификатор — Пассворк включает собственное встроенное приложение для генерации одноразовых кодов (TOTP), не требующее сторонних сервисов.
  • Биометрия — вход по отпечатку пальца или Face ID на поддерживаемых устройствах.
  • Ключи доступа (passkeys) — беспарольная аутентификация на основе стандарта WebAuthn/FIDO2.
  • Физические ключи безопасности — поддержка аппаратных токенов YubiKey, Рутокен и аналогов через FIDO2.
Администратор может включить обязательный 2ФА для всех пользователей на уровне политики — без возможности его отключить на стороне сотрудника.

Проблема: брутфорс формы входа

Автоматизированные атаки перебирают тысячи комбинаций через форму аутентификации, пока не найдут рабочую.

Решение: политики блокировки локальной аутентификации ограничивают число неудачных попыток входа за установленный период. Например: 7 попыток за 180 секунд — аккаунт блокируется на 60 секунд.

Политики блокировки локальной аутентификации ограничивают число неудачных попыток входа за установленный период

Параметры настраиваются администратором под требования организации. Это делает перебор экономически невыгодным: скорость атаки падает до нескольких попыток в минуту.

Проблема: активные аккаунты уволенных сотрудников

Учётные данные бывших сотрудников — один из наиболее распространённых векторов атак.

Решение: ролевая модель и интеграция с Active Directory и LDAP. При увольнении администратор удаляет учётную запись один раз — доступ отзывается из всех хранилищ автоматически.

Роли в Пассворке

Новый сотрудник получает ровно те учётные данные, которые нужны для его работы, — не больше.

Панель безопасности фиксирует, к каким именно паролям и хранилищам имел доступ уволенный сотрудник: администратор видит полный список ресурсов и может инициировать принудительную смену этих паролей.

Проблема: атаки остаются незамеченными

Среднее время обнаружения компрометации учётных данных — 292 дня (IBM Cost of a Data Breach Report 2025). За это время злоумышленник действует внутри инфраструктуры незаметно.

Решение: журнал аудита фиксирует все события аутентификации — успешные входы, неудачные попытки, время и источник запроса. Администратор видит аномалии (серии неудачных попыток, входы в нетипичное время, активность с незнакомых устройств) и реагирует до того, как атака достигает цели.

История действий в Пассворке

Для организаций с выстроенным процессом мониторинга Пассворк интегрируется с SIEM-системами через syslog и API: события из журнала аудита поступают в единую консоль вместе с данными из других источников. Это позволяет коррелировать подозрительную активность в менеджере паролей с событиями на сетевом периметре и конечных устройствах.


Заключение

Заключение

Брутфорс эффективен ровно настолько, насколько предсказуемы пароли в атакуемой организации. Нейросети и GPU-кластеры лишь ускорили то, что всегда было слабым местом: человек выбирает пароли, которые легко запомнить, — а значит, легко угадать. Комбинация надёжной парольной политики, МФА, правильного хеширования и централизованного управления учётными данными закрывает этот вектор атаки системно.

Практический первый шаг — провести аудит: какие пароли сейчас используются в компании, где они хранятся, когда менялись в последний раз и есть ли в системе учётные записи уволенных сотрудников и неактивных сервисов. Результаты покажут реальный масштаб уязвимости.

CTA Image

Пассворк закрывает большинство векторов брутфорса — от генерации случайных паролей до блокировки аутентификации и обязательного МФА. Доступна бесплатная пробная версия: коробочная для развёртывания на своих серверах или облачная — без затрат на инфраструктуру.


Часто задаваемые вопросы о брутфорсе

Часто задаваемые вопросы о брутфорс-атаках

Что такое брутфорс-атака?

Брутфорс — метод получения несанкционированного доступа путём автоматизированного перебора комбинаций учётных данных. Программа последовательно проверяет варианты до первого совпадения. Современные GPU-кластеры перебирают сотни миллиардов хешей в секунду — скорость атаки определяется длиной и предсказуемостью пароля, а не сложностью системы защиты.

В чём разница между онлайн- и офлайн-брутфорсом?

Онлайн-брутфорс атакует живую систему в реальном времени: форму входа, SSH, VPN. Скорость ограничена сетевыми задержками и защитными механизмами — блокировкой по IP, CAPTCHA, лимитами попыток. Офлайн-брутфорс — перебор хешей из утечки базы данных на собственном железе атакующего, без каких-либо ограничений со стороны жертвы. Именно офлайн-атаки достигают скорости в сотни миллиардов попыток в секунду. Ограничение числа попыток входа защищает только от онлайн-сценария и бесполезно, если хеши уже утекли.

Как долго занимает взлом пароля брутфорсом?

По данным «Лаборатории Касперского» (2026), 48% реальных паролей взламываются менее чем за минуту. Восьмисимвольный пароль из букв и цифр при скорости RTX 5090 (220 млрд операций в секунду) взламывается за минуты. Пароль из 16 случайных символов при той же скорости потребует миллионов лет перебора. Длина — главный фактор стойкости, не набор спецсимволов.

Чем отличается брутфорс от атаки по словарю и подстановки учётных данных?

Простой брутфорс перебирает все возможные комбинации символов подряд. Атака по словарю работает по заранее составленному списку вероятных паролей (популярных слов, фраз, утёкших данных из прошлых взломов). Подстановка учётных данных (Credential Stuffing) не взламывает пароли вовсе: она использует готовые пары логин/пароль из утечек и проверяет их на других сервисах, рассчитывая на повторное использование.

Что такое распыление паролей и почему его сложно обнаружить?

Распыление паролей (Password Spraying) — атака, при которой один популярный пароль проверяется против тысяч учётных записей. Логика обратная классическому брутфорсу: не множество паролей против одного аккаунта, а один пароль против всех. Стандартные системы защиты реагируют на серии неудачных попыток по одному аккаунту — при распылении этот порог не достигается никогда. Атака может длиться неделями без единого алерта.

Что такое атака по радужным таблицам и как от неё защититься?

Атака по радужным таблицам — офлайн-метод взлома хешей с помощью предвычисленных таблиц соответствий «пароль → хеш». Вместо того чтобы хешировать кандидатов на лету, атакующий ищет совпадение в готовой структуре — это несравнимо быстрее прямого перебора. Единственная надёжная защита — соление хешей: уникальная случайная строка, добавляемая к каждому паролю перед хешированием, делает любую предвычисленную таблицу бесполезной. Алгоритмы MD5 и SHA-1 без соли взламываются за секунды — bcrypt и Argon2 с солением остаются стойкими.

Защищает ли многофакторная аутентификация от брутфорса?

МФА блокирует подавляющее большинство атак: даже подобранный пароль не даёт доступа без второго фактора. По оценке Microsoft, МФА предотвращает более 99% атак с использованием скомпрометированных учётных данных. Наиболее надёжны аппаратные ключи стандарта FIDO2/WebAuthn — они не уязвимы к фишингу и перехвату кода. SMS-коды защищают хуже из-за уязвимости к SIM-свопингу, но лучше, чем отсутствие второго фактора.

Как ИИ изменил брутфорс-атаки?

Модели машинного обучения, обученные на миллиардах реальных паролей из утечек, генерируют статистически вероятные кандидаты — не случайные комбинации, а те, которые люди действительно создают. PassGAN взломала 51% паролей из датасета RockYou менее чем за минуту. ИИ знает типичные замены символов, корпоративные шаблоны, региональные паттерны. Любой пароль, созданный по человеческой логике, уязвим. Единственный надёжный ответ — криптографически случайная строка из менеджера паролей.

Как корпоративный менеджер паролей снижает риск брутфорса?

Корпоративный менеджер паролей устраняет человеческий фактор на уровне процесса. Встроенный генератор создаёт случайные пароли нужной длины — сотрудник не придумывает их сам и не запоминает. Браузерное расширение подставляет учётные данные напрямую в форму, исключая ручной ввод и копирование. Панель безопасности автоматически выявляет слабые и устаревшие пароли. Ролевая модель доступа гарантирует, что каждый сотрудник видит только те учётные данные, которые нужны для его работы.

Что делать, если организация обнаружила признаки брутфорс-атаки?

При выявлении серий неудачных попыток входа или нетипичной активности в журналах аутентификации — последовательность действий следующая: заблокировать атакующие IP-адреса и диапазоны, принудительно сменить пароли на атакованных системах, включить или усилить МФА на всех затронутых аккаунтах, провести аудит учётных записей на предмет компрометации, проверить журналы на признаки успешного входа до момента обнаружения. Высокий брутфорс-трафик может быть дымовой завесой — параллельно стоит проверить другие векторы активности в сети.

11 способов взлома паролей, которые хакеры используют в 2026 году
Больше половины паролей можно подобрать меньше чем за час. Но брутфорс уже не главная угроза. Инфостилеры, AiTM-фишинг, PassGAN и обход MFA — разбираем 11 актуальных методов взлома паролей в 2026 году и даём конкретный чек-лист защиты.
Пассворк: как разделить контуры ИБ и бизнеса
ИБ-секреты отличаются от обычных корпоративных доступов: компрометация пароля от SIEM — это потеря контроля над всей защитной инфраструктурой. Разбираем, когда достаточно одной инсталляции Пассворка, а когда нужен физически изолированный ИБ-контур.
Кейс-стади: ВкусВилл и Пассворк
ИТ-команда ВкусВилла искала инструмент для централизованного хранения секретов с LDAP-интеграцией и надёжным резервированием. Рассказываем, как выбирали, внедряли и как это устроено сейчас.

Что такое брутфорс: виды, угрозы и защита в 2026 году

В первом квартале 2025 года число брутфорс-атак на российские организации выросло в 2,7 раза. 48% паролей из реальных утечек взламываются за минуту. Разбираем 8 техник перебора, объясняем, чем ИИ изменил атаки, и даём конкретные меры защиты: от парольной политики до управления учётными записями.

24 июня 2026 г.
Постквантовая криптография: почему данные под угрозой уже сейчас

22 июня 2026 года Президент США Дональд Трамп подписал указ «О защите страны от продвинутых криптографических атак» — первый в американской истории документ с жёсткими, юридически обязывающими дедлайнами перехода на постквантовую криптографию.

Первый абзац указа формулирует угрозу без дипломатических оговорок:

«Появление крупномасштабных квантовых компьютеров, особенно в руках противников, создаст значительную угрозу широко используемым криптографическим системам защиты. Продолжающаяся киберактивность против нашей страны создаёт риск того, что противники собирают информацию США сейчас и расшифруют её позже, как только крупномасштабные квантовые компьютеры станут реальностью».

Это официальное признание угрозы, которая активна прямо сейчас: корпоративные данные, финансовые транзакции, дипломатическая переписка — всё, что зашифровано сегодня, возможно, уже хранится на серверах злоумышленников в ожидании квантового компьютера, который сможет расшифровать это за считанные минуты.

Подобная стратегия называется Собирай сейчас, расшифруй потом (Harvest Now, Decrypt Later, HNDL), и именно она стала главным обоснованием для указа.

Российские регуляторы — ФСБ, Минцифры, ФСТЭК, Росстандарт и ТК 26 движутся в том же направлении, хотя и по собственной траектории. Россия не адаптирует зарубежные алгоритмы, а разрабатывает собственные: «Шиповник», «Гиперикум» и «Кодиеум» проходят открытый криптоанализ в рамках ТК 26. Параллельно страна уже эксплуатирует одну из крупнейших в мире квантовых коммуникационных сетей (магистральную сеть РЖД) и запускает промышленные пилоты QKD в финансовом секторе, телекоммуникациях и ТЭК.


Главное

  • Атака идёт уже сейчас. Стратегия HNDL не требует квантового компьютера: злоумышленники перехватывают и архивируют зашифрованный трафик сегодня, чтобы расшифровать его после Q-Day. Данные с долгим сроком конфиденциальности под угрозой прямо сейчас.
  • Q-Day ближе, чем казалось. Ещё в 2023 году эксперты называли горизонт 2035–2040 годов. Исследование Google в марте 2026 года сократило оценку необходимых ресурсов в 20 раз. Google, IBM и Cloudflare сошлись на 2029 годе как внутреннем дедлайне перехода.
  • Под угрозой — асимметричная криптография. Алгоритм Шора взломает RSA, ECDSA и ГОСТ Р 34.10-2012 за минуты. Симметричные шифры (AES-256, Кузнечик, Магма) сохраняют достаточный уровень защиты: алгоритм Гровера лишь снижает стойкость вдвое.
  • Регуляторы установили жёсткие дедлайны. Указ Трампа от 22 июня 2026 года обязывает федеральные системы США и их подрядчиков перейти на стандарты NIST к 2030–2031 годам. ЕС, Великобритания и Германия установили аналогичные сроки. Через требования к подрядчикам дедлайны распространяются на глобальный ИТ-рынок.
  • Россия строит суверенный постквантовый стек. ТК 26 разрабатывает три алгоритма-кандидата — «Шиповник», «Гиперикум» и «Кодиеум». Принятие национальных стандартов прогнозируется в ближайшие годы. Россия входит в тройку стран с действующими квантовыми вычислителями на всех четырёх основных платформах.
  • Практика опережает стандарты. Пилоты QKD уже запущены в финансовом секторе (ВТБ, Газпромбанк, НСПК), телекоммуникациях (Билайн) и ТЭК (НОВАТЭК). Магистральная сеть РЖД длиной 7 858 км служит базовой инфраструктурой для новых корпоративных подключений.
  • Первый шаг — аудит, не замена алгоритмов. Постквантовый переход начинается с аудита: инвентаризации всех криптографических алгоритмов, ключей и сертификатов в инфраструктуре. Без этого невозможно оценить масштаб задачи и расставить приоритеты миграции.

Что такое постквантовая криптография?

Постквантовая криптография (PQC, Post-Quantum Cryptography) — класс криптографических алгоритмов, устойчивых к атакам квантовых компьютеров. Она защищает те же каналы и данные, что и классическая криптография, но строится на математических задачах, для которых не существует эффективного квантового алгоритма: решётки, коды с исправлением ошибок, хеш-функции.

Важно не путать два термина:

  • Постквантовая криптография (PQC) — новые математические алгоритмы шифрования, устойчивые к атакам квантовых компьютеров.
  • Квантовая криптография (QKD, квантовое распределение ключей) — метод защищённой передачи криптографических ключей, основанный не на математике, а на законах физики. Ключ кодируется в квантовых частицах — фотонах. Если третья сторона попытается перехватить передачу, квантовое состояние фотонов изменится, и обе стороны немедленно обнаружат факт прослушивания.

Проще говоря: PQC защищает сами алгоритмы шифрования, QKD защищает канал передачи ключей. В долгосрочной перспективе их совместное применение формирует полноценную квантово-устойчивую архитектуру.

Критерий Постквантовая криптография (PQC) Квантовая криптография (QKD)
Принцип защиты Математические задачи, неразрешимые для квантовых компьютеров Законы квантовой механики: перехват изменяет состояние фотонов
Оборудование Работает на классическом железе Требует специальной оптоволоконной инфраструктуры
Масштабируемость Внедряется в любую существующую сеть Ограничена расстоянием и топологией канала
Что защищает Шифрование данных, подписи, аутентификацию Только передачу ключей шифрования

Что такое Q-Day?

Квантовый день (Q-Day, День Q) — условное название момента, когда криптоаналитически релевантный квантовый компьютер (CRQC) достигнет достаточной мощности для взлома современных алгоритмов шифрования. Точная дата неизвестна, но атаки, рассчитанные на этот момент, идут уже сейчас.

Математическую основу угрозы заложил Питер Шор в 1994 году. Его алгоритм показал: задачи факторизации больших чисел и дискретного логарифмирования, на которых держатся все широко используемые асимметричные алгоритмы (RSA, ECC, Диффи-Хеллман), принципиально разрешимы на квантовом компьютере за практически приемлемое время.

Классическому компьютеру разложение 2048-битного числа на множители потребует времени, сопоставимого с возрастом Вселенной. Квантовый компьютер с достаточным числом кубитов справится с той же задачей за часы или минуты.

Это означает, что под угрозой оказывается вся инфраструктура, которая опирается на асимметричную криптографию: TLS, SSH, PKI, электронные подписи, блокчейн.

Для симметричных алгоритмов (AES-256, Кузнечик) угроза иная и менее критичная. Алгоритм Гровера снижает эффективную длину ключа вдвое: AES-256 и ГОСТ Р 34.12-2015 («Кузнечик») становятся эквивалентом 128-битной защиты. Этот уровень стойкости ФСБ России и Национальный институт стандартов и технологий США (NIST) признают достаточным на обозримую перспективу.


Что такое кубит?

Кубит (квантовый бит) — базовая единица информации в квантовых вычислениях, квантовый аналог классического бита. В отличие от обычного бита, который может быть только 0 или 1, кубит может находиться в суперпозиции обоих состояний одновременно, а также обладает свойством запутанности. Это позволяет квантовым компьютерам обрабатывать огромное количество вариантов параллельно.

Что такое алгоритм Шора?

Алгоритм Шора — квантовый алгоритм, разработанный Питером Шором в 1994 году, который решает задачу факторизации больших чисел и дискретного логарифма за полиномиальное время. На квантовом компьютере с достаточным количеством кубитов он может разложить число на простые множители экспоненциально быстрее, чем известные классические алгоритмы, что угрожает криптографии RSA и ECDLP. Это один из самых значимых примеров преимущества квантовых вычислений.

Что такое алгоритм Гровера?

Алгоритм Гровера — квантовый алгоритм решения задачи неструктурированного поиска, разработанный Лавом Гровером в 1996 году. Он позволяет найти решение уравнения или искомый элемент в неотсортированной базе данных быстрее, чем классические алгоритмы, обеспечивая квадратичное ускорение.


Насколько близок Q-Day?

Ещё в 2023 году большинство экспертов называли Q-Day горизонтом 2035–2040 годов. Сейчас прогнозы сжались. Большинство мировых и российских аналитиков ориентируются на 2028–2030 годы. При этом они подчёркивают: ключевой риск начинается раньше квантового дня — именно через HNDL-атаки.

В марте 2026 года Google опубликовал исследование, которое резко сдвинуло оценки. Команда Райана Баббуша и Хартмута Невена показала: для взлома 256-битной эллиптической криптографии (основы блокчейнов, цифровых подписей и большинства протоколов аутентификации) достаточно менее 500 000 физических кубитов. Это в 20 раз меньше предыдущих оценок. Алгоритм Шора на такой машине решит задачу за считанные минуты.

Ещё раньше, 25 марта 2026 года, Google объявил внутренний дедлайн перехода на постквантовую криптографию к 2029 году и призвал другие команды последовать примеру. Android 17 уже интегрирует постквантовые цифровые подписи на основе ML-DSA, а Chrome поддерживает PQC-шифрование.

IBM и Cloudflare называют тот же горизонт. В июне 2025 года IBM анонсировала план создания первого крупномасштабного отказоустойчивого квантового компьютера к 2029 году. В апреле 2026 года Cloudflare сдвинул собственный целевой срок полной постквантовой защиты на тот же год — после исследовательских прорывов Google и Oratomic в области квантовых алгоритмов. Три крупнейших технологических игрока независимо друг от друга сошлись на одной дате.


Что такое Harvest Now, Decrypt Later?

Собирай сейчас, расшифруй потом (Harvest Now, Decrypt Later, HNDL) — это стратегия, при которой злоумышленник перехватывает и архивирует зашифрованные данные сегодня, не имея возможности их прочитать, с расчётом расшифровать после появления криптоаналитически релевантного квантового компьютера. Атака не требует квантового компьютера прямо сейчас — она требует терпения и дискового пространства.

«Ждать появления угрозы, чтобы начать действовать, — путь к катастрофе. Во-первых, существует угроза «собирай сейчас, расшифруй потом». Уже сегодня злоумышленники могут накапливать зашифрованный трафик: переписку, финансовые документы, медицинские данные. Когда появится квантовый компьютер, они смогут расшифровать всё, что собирали годы. Если ваша информация должна оставаться тайной 10−30 лет, сегодняшние методы её не спасут», — Иван Чижов, заместитель руководителя лаборатории криптографии по научной работе компании «Криптонит» (Криптонит, 2026)

Как работает HNDL

Собирай сейчас, расшифруй потом разделяет атаку на три этапа, разнесённых во времени:

  1. Перехват. Злоумышленники собирают большие объёмы зашифрованного трафика и конфиденциальных данных.
  2. Хранение. Перехваченные данные складируются на неопределённый срок: расшифровать их сейчас невозможно.
  3. Расшифровка. После появления квантовых компьютеров весь накопленный архив расшифровывается.

Перехват не требует взлома — достаточно скопировать трафик. Это делает атаку практически незаметной: жертва не получает никаких сигналов о компрометации и узнаёт о ней только тогда, когда данные уже раскрыты.

Кого это касается в первую очередь

HNDL-атака бьёт прежде всего по данным с долгим сроком актуальности — тем, которые останутся чувствительными через 5, 10 или 20 лет. Чем дольше данные сохраняют ценность, тем выше риск.

Категория данных Почему под угрозой
Государственные секреты и дипломатическая переписка Данные с горизонтом актуальности 10–30 лет. Перехват и архивирование могут вестись уже сейчас.
Коммерческая тайна Патентные разработки, стратегические планы и условия сделок теряют ценность не сразу. Конкурент, получивший доступ через несколько лет, всё равно нанесёт ущерб.
Персональные данные Обрабатываются в соответствии с Федеральным законом № 152-ФЗ «О персональных данных». Утечка, произошедшая через годы после перехвата, не снимает ответственности с оператора.
Учётные данные Пароли и ключи доступа, перехваченные сегодня, могут открыть системы, которые продолжают работать спустя годы.
Медицинские данные Защищены ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан». Компрометация через 5–7 лет остаётся юридически и репутационно значимой.
Долгосрочные финансовые контракты Конфиденциальность переговоров, зашифрованных сегодня, может быть нарушена в момент наибольшей чувствительности сделки.
Блокчейн-инфраструктура Публичные ключи кошельков уже сейчас видны в блокчейне. При появлении квантового компьютера из них можно будет вычислить приватные ключи и получить доступ к активам.

Общий знаменатель — время. Злоумышленнику не нужно взламывать шифрование прямо сейчас. Достаточно собрать данные и подождать.


Глобальная регуляторика

Международная реакция на квантовую угрозу перешла из научной плоскости в нормативную. Ключевые юрисдикции уже установили обязывающие сроки или активно готовят стандарты — независимо от того, приняли ли они алгоритмы Национальный институт стандартов и технологий США (NIST) или разрабатывают собственные.

США

В августе 2024 года NIST утвердил три постквантовых стандарта:

  • FIPS 203 (ML-KEM) — механизм инкапсуляции ключей, основан на алгоритме CRYSTALS-Kyber. Предназначен для защиты каналов связи от HNDL-атак.
  • FIPS 204 (ML-DSA) — алгоритм цифровой подписи, основан на CRYSTALS-Dilithium. Заменяет ECDSA и RSA-подписи.
  • FIPS 205 (SLH-DSA) — алгоритм цифровой подписи на основе хеш-функций (SPHINCS+). Альтернатива ML-DSA с иной математической базой.

Все три алгоритма уже реализованы в основных криптографических библиотеках (OpenSSL 3.x, BoringSSL, libsodium) и доступны для внедрения.

Указ от 22 июня 2026 года «О защите страны от продвинутых криптографических атак» перевёл рекомендации в жёсткие дедлайны. До 31 декабря 2030 года все федеральные системы будут обязаны перейти на постквантовые алгоритмы защиты каналов связи. До 31 декабря 2031 года — завершить замену алгоритмов цифровой подписи, которые удостоверяют подлинность документов, кода и сертификатов.

Раздел 6(c) указа — самый острый инструмент давления на рынок: Федеральный совет по регулированию закупок США обязан опубликовать правило, требующее от всех подрядчиков федерального правительства соответствия стандартам NIST FIPS, включая алгоритмы постквантовой криптографии, к 31 декабря 2030 года.

Это создаёт цепную реакцию. Microsoft, AWS, Google, SAP и тысячи других вендоров, работающих с федеральными заказчиками, обязаны обеспечить совместимость своих продуктов с постквантовыми стандартами к 2030 году или потерять выход на крупный рынок.

Одновременно подписан сопутствующий указ о квантовых инновациях — программа по созданию правительственного квантового компьютера для ускорения научных открытий.

«Америка находится на пороге квантовой революции. Квантовая информатика и технологии откроют трансформационные возможности, которые будут двигать американские инновации, обеспечивать экономический рост, создавать высокооплачиваемые рабочие места и укреплять национальную безопасность. Поскольку другие страны стремительно бросают вызов американскому лидерству, США должны применить согласованный, общенациональный подход к ускорению внедрения и коммерциализации квантовых вычислений, квантового зондирования и квантовых сетей».

Риторика указов подчёркивает: для США постквантовый переход — вопрос технологического лидерства. Дедлайны 2030–2031 годов обязательны для всего федерального сектора США и через требования к подрядчикам будут распространяться на глобальный ИТ-рынок.

Китай

Управление государственной коммерческой криптографии (OSCCA) в феврале 2025 года запустило программу разработки алгоритмов следующего поколения. Национальные постквантовые стандарты ожидаются к 2028–2029 годам.

Действующая криптографическая база Китая (алгоритмы семейства ShangMi — SM2, SM3, SM4), уязвима перед квантовыми компьютерами. Параллельно Китай развивает крупнейшую в мире инфраструктуру квантового распределения ключей (QKD) — технология позволяет передавать криптографические ключи с абсолютной защитой от перехвата, используя законы квантовой механики. Квантовые технологии включены в число главных приоритетов 15-го пятилетнего плана развития Китая.

Европейский союз

В апреле 2024 года Европейская комиссия выпустила официальную рекомендацию по переходу на постквантовое шифрование (документ № 2024/1101). В развитие этой инициативы в июне 2025 года была представлена «Скоординированная дорожная карта внедрения постквантового шифрования». Финальный срок перехода установлен на декабрь 2030 года.

План миграции разделен на три этапа:

  1. Инвентаризация (до конца 2025 года) — аудит текущих ИТ-систем и поиск уязвимых алгоритмов шифрования.
  2. Гибридные пилотные проекты (2026–2027 годы) — тестирование новых алгоритмов совместно с классическими методами защиты.
  3. Полный переход (до конца 2030 года) — окончательный отказ от устаревшего шифрования и внедрение постквантовых стандартов.

Каждые полгода участники процесса отчитываются о результатах перед Агентством Европейского союза по кибербезопасности (ENISA).

Великобритания

В марте 2025 года Национальный центр кибербезопасности Великобритании (NCSC) опубликовал трёхэтапную дорожную карту перехода на новые стандарты безопасности.

План миграции включает следующие шаги:

  1. Инвентаризация и аудит (до 2028 года). Организациям необходимо полностью проверить свои ИТ-системы и составить подробную спецификацию криптографических материалов (Cryptographic Bill of Materials, CBOM). Этот реестр покажет, какие именно алгоритмы, ключи и сертификаты используются в инфраструктуре.
  2. Защита критических систем (до 2031 года). На этом этапе планируется перевести наиболее важные государственные и корпоративные системы на гибридную криптографию — комбинацию классических и новых алгоритмов шифрования.
  3. Полный отказ от устаревших алгоритмов (до 2035 года). К этому моменту организации должны полностью прекратить использование уязвимых криптографических алгоритмов (таких как RSA, ECDH и ECDSA) и перейти на постквантовые стандарты.

Для операторов критической инфраструктуры эти требования фактически обязательны. Государственные регуляторы будут проверять британские компании на соответствие правилам сетевой и информационной безопасности именно по этой дорожной карте.

Германия

Федеральное ведомство по информационной безопасности Германии (BSI) последовательно публикует требования по переходу на новые стандарты защиты с 2021 года. Актуальная версия технического руководства ведомства (документ BSI TR-02102 за 2024 год) содержит следующие положения:

  • Гибридный режим. Ведомство рекомендует использовать новые алгоритмы постквантового шифрования ML-KEM (для защиты каналов связи и обмена ключами) и ML-DSA (для создания цифровой подписи) только совместно с классическими методами защиты.
  • Сроки перехода. Полную миграцию ИТ-систем на новые стандарты безопасности планируется завершить до 2030 года.
  • Гибкость в выборе стандартов. В отличие от многих других стран, Германия разрешает компаниям использовать альтернативные криптографические алгоритмы, даже если они не входят в стандарты американского Национального института стандартов и технологий (NIST). Главное условие — математически доказанная надежность этих алгоритмов.

Южная Корея

Южная Корея стала единственной страной, которая разработала собственный набор алгоритмов постквантового шифрования и закрепила его в национальной дорожной карте. Для этого Корея провела национальный конкурс KpqC, по итогам которого были выбраны криптографические стандарты:

  • Для создания цифровых подписей утверждены алгоритмы AIMer и HAETAE.
  • Для безопасного обмена ключами шифрования выбраны алгоритмы SMAUG-T и NTRU+.

В феврале 2025 года Министерство науки, информационно-коммуникационных технологий и планирования Южной Кореи (MSIT) опубликовало национальную дорожную карту перехода. План миграции разделен на два ключевых этапа:

  1. Пилотное внедрение (2025–2028 годы). Тестирование южнокорейских алгоритмов в реальных инфраструктурах и запуск первых тестовых проектов.
  2. Полная миграция (до 2035 года). Окончательный переход государственных ведомств и бизнеса на новые стандарты безопасности.

Сравнительная таблица: регуляторика постквантовой криптографии

Юрисдикция Ключевой документ Финальный дедлайн
США Указ EO 14409 + стандарты NIST FIPS 203/204/205 2030 (обмен ключами), 2031 (подписи)
Европейский союз Согласованная дорожная карта внедрения PQC (июнь 2025) + директивы NIS2 и DORA 2030 (высокоприоритетные системы), 2035 (полная миграция)
Франция Руководство ANSSI по переходу на PQC; сертификация продуктов только с PQC с 2027 года 2027 (сертификация), 2031 (критические системы), 2035 (полная миграция)
Великобритания Дорожная карта миграции NCSC (март 2025) 2028 (планирование), 2031 (начало миграции), 2035 (полная миграция)
Германия Технические рекомендации BSI TR-02102 (2024) ~2030
Канада Дорожная карта миграции на PQC для правительства Канады ITSM.40.001 (июнь 2025) 2031 (высокоприоритетные системы), 2035 (полная миграция)
Япония Решение Национального командования по киберпространству (NCO); технический базис — CRYPTREC 2035
Южная Корея Дорожная карта Министерства науки и ИКТ (февраль 2025) 2035
Китай Программа алгоритмов следующего поколения OSCCA (февраль 2025) ~2028–2029 (прогноз стандартов)
Бразилия Рекомендации ITI и MCTI в рамках национальной квантовой программы Дедлайн не установлен; на стадии изучения и пилотов

Российские реалии

Россия идёт к постквантовым стандартам собственным путём. Рабочая группа «Постквантовые криптографические механизмы» в составе ТК-26 создана ещё в 2019 году. По состоянию на середину 2026 года страна перешла из стадии исследований в стадию стандартизации — национальный стандарт постквантовых алгоритмов ещё не принят, его утверждение Росстандартом прогнозируется в ближайшие годы.

Отставание от американского графика объяснимо: Россия разрабатывает собственные алгоритмы, а не адаптирует зарубежные. Такой подход обеспечивает технологический суверенитет, но требует времени на полный цикл криптоанализа и стандартизации.

«Как и в любой наукоёмкой отрасли, в криптографии всегда всё начинается с фундамента и дальше прорастает во всё более и более прикладные области. И когда мы говорим про текущее состояние дел, мы понимаем, что у нас есть фундамент — свой, надёжный, суверенный. На нём мы строим российскую криптографию и создаём решения, которые не отстают от зарубежных аналогов, а в ряде направлений опережают мировые разработки», — Станислав Смышляев, генеральный директор компании «КриптоПро» (CNews, июнь 2026)

Суверенный статус российских квантовых разработок подтверждают и данные «Росатома». Директор по квантовым технологиям госкорпорации Екатерина Солнцева на конференции ЦИПР-2026 (Нижний Новгород, май 2026) сообщила:

«В зарождающейся квантовой индустрии известно приблизительно 100 типов квантовых алгоритмов, из которых примерно 20 воспринимаются как основные и 80 являются модификациями. У нас есть российские версии всех основных квантовых алгоритмов и порядка тридцати модификаций. То есть стек квантового программного обеспечения покрыт у нас уже достаточно хорошо. И сейчас мы приходим к тому, чтобы научиться использовать имеющиеся наработки для практических задач».

Российские эксперты сходятся в оценке приоритетов. Главный риск — не коллапс в день появления квантового компьютера, а сценарий Собирай сейчас, расшифруй потом (HNDL, Harvest Now, Decrypt Later).

Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, уточняет приоритеты по типам данных: для информации с долгим сроком секретности — государственная тайна, критическая инфраструктура, отдельные категории персональных данных, банковская и корпоративная тайна — менять системы шифрования нужно уже сейчас. Сама замена алгоритмов во всей инфраструктуре может занять годы, и этот срок нужно закладывать в планирование (Ведомости, июнь 2026).

На ПМЭФ-2026 (сессия «После гонки кубитов: кто строит квантовое будущее», 4 июня) участники зафиксировали смену фазы: российский рынок переходит от доказательства работоспособности технологии к её масштабированию в корпоративном секторе. «Иннопрактика» выделила три сценария квантовой трансформации для крупных компаний: пилоты на действующей ИТ-инфраструктуре, новые коммерческие сервисы для операторов ЦОД и долгосрочные стратегии перехода на квантово-защищённые каналы связи.

В России уже существует серийно выпускаемое оборудование и накоплен опыт промышленной эксплуатации — магистральная квантовая сеть РЖД используется как базовая инфраструктура для подключения новых корпоративных заказчиков.

Симметричная криптография: что уже защищено

Российские симметричные алгоритмы Кузнечик (ГОСТ Р 34.12-2015) и Магма (ГОСТ Р 34.12-2015) устойчивы к квантовым атакам в своём нынешнем виде. Алгоритм Гровера снижает эффективную стойкость симметричного ключа вдвое: 256 бит → 128 бит эффективной стойкости. 128-битный уровень безопасности считается достаточным по современным криптографическим стандартам. Хеш-функция Стрибог (ГОСТ Р 34.11-2012) также устойчива к известным квантовым атакам.

Это означает, что инфраструктура, уже использующая ГОСТ-шифрование для защиты данных «в покое» (at rest), не требует срочной замены симметричной части. Приоритет перехода — асимметричная криптография: ГОСТ Р 34.10-2012 (электронная подпись на эллиптических кривых) будет взломан алгоритмом Шора так же, как RSA и ECDSA.

Алгоритмы-кандидаты

Технический комитет ТК 26 («Криптографическая защита информации») с 2019 года ведёт разработку постквантовых стандартов через рабочую группу «Постквантовые криптографические механизмы». Три алгоритма-кандидата:

  • Шиповник — российский кандидат на постквантовую схему электронной цифровой подписи, основанный на кодах с исправлением ошибок (аналог семейства BIKE/HQC в конкурсе NIST). Компания Криптонит опубликовала открытую реализацию алгоритма. При успешном завершении криптоанализа Шиповник может стать первым российским постквантовым стандартом ЭЦП.
  • Гиперикум — кандидат на постквантовую схему подписи на основе хеш-функций. Использует российский стандарт хеширования Стрибог-256 (ГОСТ Р 34.11-2012) как криптографическое основание — аналогично тому, как западный SLH-DSA (FIPS 205) строится на SHA-3. Разработка ведётся сотрудниками QApp в рамках деятельности подгруппы ТК 26.
  • Кодиеум — постквантовый механизм инкапсуляции ключей (KEM), разработанный Криптонитом в 2024 году. Функционально является постквантовым аналогом протокола Диффи-Хеллмана: защищает передачу ключей шифрования при установке защищённого соединения. Как и Шиповник, основан на математической задаче декодирования случайного кода с исправлением ошибок. Проходит процедуру разработки методических рекомендаций по стандартизации в ТК 26.

Все три алгоритма проходят открытый криптоанализ — обязательный этап перед стандартизацией.


Практика внедрения: российские пилоты 2025–2026

Россия не ждёт принятия стандартов, чтобы начать практическую работу. Несколько крупных проектов уже перешли от концепции к реальной эксплуатации.

Финансовый сектор

QApp и Газпромбанк — компания QApp завершила пять пилотных проектов с Газпромбанком в области постквантовой защиты финансовых коммуникаций.

QApp и НСПК (Национальная система платёжных карт, оператор «Мир») — два пилотных проекта:

  • Защита электронного документооборота — НСПК интегрировала решение Qtunnel компании QApp в систему электронного документооборота. Постквантовые алгоритмы шифрования заменили асимметричные схемы, уязвимые к атакам квантовых компьютеров. Проект реализован совместно с Российским квантовым центром (РКЦ).
  • PQC PAY — разработка и тестирование квантово-устойчивых платёжных транзакций по протоколу BLE (Bluetooth Low Energy). Проект направлен на защиту бесконтактных платежей от будущих квантовых атак.

ВТБ — в мае 2026 года банк завершил пилотное тестирование защищённого канала связи на основе квантового распределения ключей (QKD). Между двумя московскими ЦОД банка проложена специализированная оптоволоконная линия: оборудование компании «Инфотекс» генерирует и автоматически распределяет симметричные ключи шифрования со скоростью до одного ключа в минуту без физических носителей и участия сотрудников в процессе доставки. Любое внешнее воздействие на канал мгновенно фиксируется через изменение фазы или амплитуды фотона. Партнёрами проекта выступили РЖД и «Иннопрактика». Результаты представлены на ПМЭФ-2026.

Топливно-энергетический комплекс

НОВАТЭК — в апреле 2026 года на объектах ПАО «НОВАТЭК» впервые в российском ТЭК протестировано оборудование квантового распределения ключей. Использовалось решение ViPNet QTS производства «ИнфоТеКС» — система для построения квантовой криптографической сети произвольной топологии.

Организационную поддержку оказали «Иннопрактика» и АНО «Центр развития квантовых технологий» (ЦРКТ). По итогам пилота зафиксирована положительная оценка технологической готовности решения. Предприятия ТЭК относятся к объектам критической информационной инфраструктуры (КИИ), что делает этот пилот прецедентным для всей отрасли.

Телекоммуникации

Билайн и РЖД — в апреле 2026 года ПАО «ВымпелКом» и РЖД совместно с «ИнфоТеКС» провели пилотные испытания QKD на реальной корпоративной сети. Московские офисы Билайна и РЖД подключили к узлу магистральной квантовой сети РЖД с помощью оборудования ViPNet.

В программу испытаний вошли генерация и распределение ключей шифрования, организация IP-связности, передача данных, VoIP-звонки и видеоконференцсвязь по защищённому каналу. Использовались программно-аппаратные комплексы «ИнфоТеКС»: ViPNet РУКС, шифратор канального уровня ViPNet L2Q-10G и криптошлюз ViPNet Coordinator HW 1000. Все тесты прошли успешно.

Инфраструктура

Квантовая сеть РЖД — магистральная квантовая сеть протяжённостью 7 858 км, охватывающая 27 регионов России. Это одна из крупнейших квантовых коммуникационных сетей в мире. Сеть использует технологию QKD для защиты критических железнодорожных коммуникаций.

Первый квантово-устойчивый TLS-шлюз — совместная разработка QApp и компании «С-Терра» обеспечивает постквантовую защиту HTTPS-трафика на уровне сетевого шлюза. Это позволяет организациям внедрять PQC без замены всей клиентской инфраструктуры.

Наука и государство

НТУ «Сириус» разработал два программных комплекта (SDK):

  • SDK «Сириус-Q. Решатель QUBO» — инструмент для квантовых оптимизационных задач.
  • SDK «Сириус-Q. КНАА-2-ЭЦП» — реализация квантово-устойчивой электронной цифровой подписи.

В марте 2026 года оба SDK одобрены Минцифры России для защиты национальных блокчейн-экосистем. Это первый официальный государственный акт признания конкретных постквантовых инструментов в России.


Заключение

Заключение

Указ Трампа от 22 июня 2026 года — признание того, что атака HNDL уже идёт. HNDL-перехват не требует квантового компьютера сегодня, а всего лишь терпения. Данные, зашифрованные прямо сейчас, могут быть скомпрометированы в момент наибольшей чувствительности через пять, десять или пятнадцать лет.

Россия движется по собственной траектории: суверенные алгоритмы-кандидаты проходят криптоанализ, пилоты QKD запущены в финансовом секторе, ТЭК и телекоммуникациях, стандарты ожидаются в 2026–2027 годах. Направление совпадает с глобальным — сроки и инструменты отличаются.

Практический первый шаг не требует ждать стандартов. Проведите аудит: зафиксируйте, где и какие криптографические алгоритмы используются в вашей инфраструктуре. Это покажет реальный масштаб задачи и даст основу для планомерной миграции вместо аварийного реагирования.

CTA Image

Корпоративные учётные данные — критический элемент криптографической инфраструктуры. Пассворк разворачивается на вашем сервере или в облаке, хранит пароли и секреты в зашифрованном виде и даёт администраторам полный контроль над доступом. Это первый шаг к управляемой криптографической среде. Протестировать можно бесплатно


Часто задаваемые вопросы о постквантовой криптографии

Часто задаваемые вопросы о постквантовой криптографии

Что такое постквантовая криптография?

Постквантовая криптография (PQC) — это класс криптографических алгоритмов, устойчивых к атакам как классических, так и квантовых компьютеров. В отличие от квантовой криптографии (QKD), PQC работает на обычном «классическом» оборудовании и не требует квантовых каналов связи. Стандарты PQC основаны на математических задачах, для которых не существует эффективного квантового алгоритма: решётки, коды с исправлением ошибок, хеш-функции.

Что такое атака Harvest Now, Decrypt Later (HNDL)?

Собирай сейчас, расшифруй потом (HNDL) — стратегия, при которой злоумышленники перехватывают и сохраняют зашифрованные данные сегодня, рассчитывая расшифровать его позже с помощью квантового компьютера. Угроза актуальна для любых данных с долгим сроком конфиденциальности: государственные секреты, медицинские записи, финансовые сделки, интеллектуальная собственность. Перехват может происходить прямо сейчас — без каких-либо признаков атаки.

Когда появится криптографически значимый квантовый компьютер (Q-Day)?

Точной даты не знает никто, но консенсус экспертного сообщества сместился к 2028–2030 годам. Google, IBM и Cloudflare независимо друг от друга назвали 2029 год внутренним дедлайном перехода. Ключевое препятствие — коррекция квантовых ошибок: современные процессоры содержат тысячи физических кубитов, тогда как для взлома RSA-2048 алгоритмом Шора потребуются миллионы логических стабильных кубитов. Темп решения этой инженерной проблемы и определит реальный срок Q-Day.

Какие российские постквантовые алгоритмы разрабатываются?

ТК 26 («Криптографическая защита информации») продвигает три алгоритма-кандидата: «Шиповник» (схема ЭЦП на кодах с исправлением ошибок), «Гиперикум» (схема подписи на основе хеш-функции «Стрибог-256») и «Кодиеум» (механизм инкапсуляции ключей, постквантовый аналог протокола Диффи-Хеллмана). Все три проходят открытый криптоанализ. Принятие национальных стандартов прогнозируется в 2026–2027 годах.

Устойчивы ли российские ГОСТы к квантовым атакам?

Зависит от типа алгоритма. Симметричные шифры «Кузнечик» и «Магма» с ключами 256 бит сохраняют квантовую устойчивость — алгоритм Гровера снижает стойкость лишь вдвое. Хеш-функция «Стрибог» также устойчива. Уязвим ГОСТ Р 34.10-2012 (электронная подпись на эллиптических кривых) — алгоритм Шора взломает его так же, как RSA и ECDSA.

Чем QKD отличается от постквантовой криптографии?

QKD (квантовое распределение ключей) и PQC решают одну задачу — защиту от квантовых атак — принципиально разными методами. QKD использует законы квантовой механики для физически защищённой передачи ключей: любой перехват изменяет состояние фотонов и мгновенно обнаруживается. PQC — это математические алгоритмы, работающие на классическом оборудовании. QKD требует специальной оптоволоконной инфраструктуры и подходит для защиты каналов между конкретными точками. PQC масштабируется на любую существующую сеть без замены оборудования.

ГОСТ-шифрование для разработчиков: алгоритмы, СКЗИ и интеграция 2026
ГОСТ-стек хорошо специфицирован — сложность в интеграции. Разбираем четыре актуальных стандарта с OID-ами, механику шифрования изнутри, типичные точки отказа в nginx, Docker и браузерах, классы СКЗИ и границы лицензирования ФСБ и ФСТЭК.
Импортозамещение КИИ в 2026: сроки, требования и план перехода
С 2025 года часть запретов на иностранное ПО и СЗИ уже действует. Базовый дедлайн перехода — 2028 год, штрафы за нарушение сроков готовятся. Разбираем требования, сроки и план действий на 2026 год.
Пассворк: как разделить контуры ИБ и бизнеса
ИБ-секреты отличаются от обычных корпоративных доступов: компрометация пароля от SIEM — это потеря контроля над всей защитной инфраструктурой. Разбираем, когда достаточно одной инсталляции Пассворка, а когда нужен физически изолированный ИБ-контур.

Постквантовая криптография: почему данные под угрозой уже сейчас

Квантовые компьютеры ещё не взломали ни одного шифра, но атаки уже идут. Разбираем HNDL-угрозу, глобальные дедлайны регуляторов, российские алгоритмы-кандидаты и первые промышленные пилоты QKD в России.

22 июня 2026 г.
Харденинг критического сегмента ИТ-инфраструктуры: что защищать и как настроить
Статья подготовлена совместно экспертами Лаборатории цифровой криминалистики и исследования вредоносного кода F6 и специалистами по информационной безопасности Пассворка на основе реального опыта реагирования на кибератаки.

Большинство разрушительных атак с использованием шифровальщиков и программ уничтожения данных заканчиваются успехом по ряду причин: ошибки в проектировании сети, небезопасное хранение учётных данных, доступность резервных копий из основной инфраструктуры и возможность беспрепятственной разведки внутри сети. Атакующий, попав внутрь, без труда находит всё необходимое для финального удара.

По данным ежегодного отчёта F6 «Аналитика и прогнозы 2025–2026», количество атак шифровальщиков в 2025 году выросло на 15%, а каждый седьмой инцидент в среднем и крупном бизнесе завершился не выкупом, а уничтожением инфраструктуры — вдвое чаще, чем годом ранее. Рекордный запрошенный выкуп достиг 500 млн рублей. За этими цифрами стоят типовые архитектурные просчёты: открытые пути к резервным копиям, пароли в общем доступе, домен без сегментации.

Эксперты F6 и специалисты Пассворка проанализировали реальные инциденты и сформировали технические и архитектурные рекомендации на основе того, что фактически позволило атакующим достичь цели. Каждая рекомендация в этой статье закрывает конкретный вектор — тот, который в зафиксированных случаях оказался решающим.


Что на самом деле является критическим сегментом

Бизнес традиционно определяет критичность системы через операционный ущерб от её недоступности. Информационная безопасность — через последствия компрометации. Это принципиально разные критерии, и путаница между ними дорого обходится при проектировании защиты.

Критический сегмент ИТ-инфраструктуры с позиции информационной безопасности — это совокупность систем, компрометация которых делает невозможным восстановление после инцидента или открывает атакующему полный контроль над организацией. Конкретный состав зависит от инфраструктуры, но в большинстве организаций в него входят:

  • Средства защиты информации — межсетевые экраны, системы обнаружения и предотвращения вторжений, анализа сетевого трафика, консоли управления endpoint-защитой, SIEM-системы.
  • Хранилища секретов и аутентификационных данных — корпоративные менеджеры паролей, системы управления привилегированным доступом (PAM), центры сертификации, системы многофакторной аутентификации (MFA).
  • Системы резервного копирования — серверы резервных копий, хранилища снимков виртуальных машин, офлайн-архивы.
  • Инфраструктура виртуализации — гипервизоры, на которых размещены системы критического сегмента, и их интерфейсы управления.

Эти компоненты определяют способность организации восстановиться после разрушительного инцидента, и именно они становятся приоритетными целями атакующих.


Архитектурные принципы защиты

Рекомендации в статье охватывают каждый уровень: от сетевой архитектуры до конфигурации отдельных сервисов. Все они строятся на нескольких архитектурных принципах — без них технические меры не работают как система.

  • Физическая и логическая изоляция. Системы критического сегмента не должны входить в домен Active Directory (AD). Это исключает целый класс атак на доменные службы.
  • Выделенная административная станция. Управление критическими системами осуществляется только с отдельной рабочей станции, не входящей в домен и не используемой в повседневной работе.
  • Отсутствие учётных данных в операционной инфраструктуре. Аутентификационные данные от систем критического сегмента не хранятся и не передаются через основную доменную инфраструктуру.

Эти три принципа взаимосвязаны: изоляция теряет смысл, если администратор заходит на защищённый сервер с рабочей станции из домена. Выделенная станция бесполезна, если учётные данные от нее хранятся на системах доменной инфраструктуры.


Почему защиты периметра недостаточно

Передовые средства обнаружения и реагирования — необходимое условие, но не достаточное. Чтобы эффективно противодействовать угрозам, попавшим внутрь сети, необходимо придерживаться принципов безопасного проектирования инфраструктуры.

Типичная цепочка продвижения атакующего внутри сети выглядит так:

  1. Первоначальный доступ — через фишинг, уязвимость на периметре или, например, скомпрометированного подрядчика.
  2. Разведка внутри сети — поиск критически важных сервисов компании, таких как контроллеры доменов, сервера приложений и баз данных, файловых хранилищ, систем резервного копирования, хранилищ паролей и иной конфиденциальной информации.
  3. Повышение привилегий и компрометация аутентификационных данных  — извлечение учётных данных из памяти систем, браузеров и т.п.
  4. Горизонтальное перемещение — с использованием легитимных сетевых протоколов и украденных учётных данных, а также с помощью техник атак на доменную инфраструктуру.
  5. Компрометация критических систем — получение доступа к контроллерам доменов, серверам автоматизации, гипервизорам, серверам резервного копирования, хранилищам секретов и т.п.
  6. Деструктивное воздействие — шифрование или уничтожение данных, включая резервные копии.

Цель харденинга критического сегмента — сделать продвижение атакующего максимально дорогостоящим по времени и ресурсам: он должен тратить на каждый следующий шаг больше времени, чем службе безопасности нужно для его обнаружения.


Рекомендации по безопасной конфигурации ИТ-инфрастуктуры критического сегмента

Рекомендации сгруппированы по направлениям. Каждая мера закрывает конкретный вектор атаки на основе техник, которые применялись в зафиксированных инцидентах.

Изоляция от доменной инфраструктуры

Сервер, входящий в домен AD, автоматически наследует всю его поверхность атаки. Скомпрометировав любой доменный хост, злоумышленник получает инструменты для продвижения к остальным через общие механизмы аутентификации и централизованного управления. Вывод критических систем за пределы домена разрывает эту цепочку на архитектурном уровне: даже при полной компрометации домена критический сегмент остаётся недосягаемым.

Рекомендация

Не размещайте сервисы управления средствами защиты информации (СЗИ), резервным копированием, хранилища секретов и аутентификационных данных (корпоративные менеджеры паролей, системы аутентификации) и их базы данных на серверах, входящих в домен Active Directory.

Что сделать Как реализовать
Вывести хосты критического сегмента из домена AD Развернуть сервисы на выделенных серверах вне доменной инфраструктуры
Выделить административную рабочую станцию Отдельная станция, не входящая в домен, не используемая в повседневной работе
Настроить станцию по принципу минимальных привилегий Без лишних сервисов, без удалённого управления извне
Управлять критическими системами только с этой станции Запретить администрирование с систем доменной инфраструктуры

Почему это работает

В случаях, когда злоумышленнику удалось полностью скомпрометировать домен AD, но не найти в ней аутентификационные данные от критических систем, каждый следующий шаг атаки потребует проведения отдельного взлома систем изолированного контура.


Управление учётными данными

Повторное использование злоумышленниками паролей между сегментами — один из самых распространённых способов горизонтального перемещения. Если учётные данные от критических систем хранятся в основной инфраструктуре, компрометация домена автоматически означает компрометацию критического сегмента.

Рекомендация

Не используйте и не храните в доменной инфраструктуре аутентификационные данные для подключения к хостам критического сегмента и привилегированным учётным записям сервисов, размещённых на этих хостах. Используйте пароли, отличные от применяемых в остальных сегментах.

Что сделать Как реализовать
Исключить хранение паролей критического сегмента в доменной инфраструктуре Не сохранять в AD, групповых политиках, скриптах автоматизации, общих сетевых ресурсах
Использовать уникальные пароли для каждого хоста и сервиса критического сегмента Генерировать отдельно, хранить изолированно от основного хранилища
Применять строгую парольную политику Длина, сложность, срок действия — отдельные требования для критического сегмента

Почему это работает

Если учётных данных от критических систем нет в домене — компрометация домена не даёт атакующему точки опоры для следующего шага. Дамп учётных данных из доменной инфраструктуры окажется бесполезным: войти в критические системы с его помощью не получится.


Сетевая изоляция и протоколы

Устаревшие протоколы и избыточное количество открытых сетевых портов — дополнительные возможности для атакующего. Чем меньше пул доступных портов и протоколову систем критического сегмента, тем меньше поверхность атаки на данные системы и тем проще эти системы контролировать.

Рекомендация

Отключите устаревшие сетевые протоколы и алгоритмы шифрования. Минимизируйте количество открытых портов. Ограничьте взаимодействие с публичными сетями.

Что сделать Как реализовать
Отключить устаревшие протоколы Принудительно запретить старые версии сетевых протоколов и слабые алгоритмы шифрования — оставить только актуальные и стойкие
Запретить режимы обратной совместимости Использовать строгие политики согласования протоколов без возможности отката к устаревшим версиям.
Открыть только необходимые порты Закрыть всё, кроме портов размещённых сервисов
Определить единый протокол удалённого управления Например, RDP — один утверждённый канал, остальное закрыто
Ограничить исходящий трафик в публичные сети Разрешить только адреса серверов обновлений ОС и сервисов

Почему это работает

Закрытые порты и запрет устаревших протоколов устраняют downgrade-атаки и сокращают возможности нелегитимного взаимодействия с системами, уменьшая  поверхность атаки на них. Ограничение исходящего трафика блокирует установку C2-каналов (command-and-control) и эксфильтрацию данных, даже если злоумышленник уже получил доступ к хосту.


Принцип минимальных привилегий

Сервисные учётные записи с избыточными правами превращают компрометацию одного сервиса в плацдарм для атаки на всю сеть. Ограничение привилегий позволяет существенно ограничить возможности атакующего при компрометации той или иной системы.

Рекомендация

При разграничении прав доступа руководствуйтесь принципом минимально необходимых привилегий для сервисных учётных записей. Учётные записи сервисов не должны быть привилегированными и не должны иметь доступа к другим ресурсам локальной сети.

Что сделать Как реализовать
Создать отдельные непривилегированные учётные записи для каждого сервиса Без прав локального администратора, без доступа к сетевым ресурсам
Ограничить область действия учётной записи одним сервисом Учётная запись сервиса A не должна иметь доступа к сервису B
Регулярно проводить ревизию прав Убрать избыточные права, выданные учетной записи по той или иной причине

Почему это работает

Компрометация сервиса с минимальными привилегиями создает значительные трудности злоумышленнику, сокращая спектр доступных ему действий, что увеличивает время развития атаки и дает шансы на обнаружение нелегитимной активности с минимальным ущербом.


Аутентификация: блокировка и MFA

Брутфорс, подстановка скомпрометированных учётных данных из утечек (credential stuffing), целенаправленные атаки на конкретные учётные записи — базовые техники, которые применяются против любых доступных интерфейсов аутентификации. Блокировка учётных записей и многофакторная аутентификация (MFA) создают барьеры, которые делают эти атаки нерентабельными.

Рекомендация

Настройте блокировку учётных записей после нескольких неудачных попыток входа. Внедрите MFA для доступа ко всем системам критического сегмента и размещённым на них сервисам.

Что сделать Как реализовать
Установить порог блокировки учётной записи Определить допустимое количество неудачных попыток, после которого учётная запись блокируется
Настроить алерты на превышение порога Передавать события блокировки в SIEM для оперативного реагирования
Внедрить многофакторную аутентификацию Одноразовые коды (TOTP), аппаратные токены или криптографические ключи — коммерческие и открытые решения для ОС и сервисов критического сегмента
Усилить защиту протоколов удалённого управления Там, где отключить удалённый доступ невозможно, многофакторная аутентификация — обязательный дополнительный барьер

Почему это работает

Блокировка учётных записей останавливает перебор и создаёт детектируемый сигнал. MFA делает скомпрометированный пароль недостаточным для входа — злоумышленнику нужен второй фактор, которого у него нет.


Шифрование дисков

Физический доступ к серверу или кража файлов виртуальных машин — реальные векторы атаки, особенно в средах с виртуализацией. Шифрование дисков защищает данные даже при полной потере контроля над носителем.

Рекомендация

Зашифруйте диски всех систем критического сегмента. Обеспечьте надёжное хранение ключевой информации.

Что сделать Как реализовать
Включить полнодисковое шифрование BitLocker (Windows), LUKS (Linux) или сертифицированные аналоги
Организовать безопасное хранение ключей Ключи не должны храниться на том же хосте или в основной инфраструктуре

Почему это работает

Зашифрованный диск, извлечённый из сервера или скопированный как файл ВМ, бесполезен без ключа. Это закрывает вектор физического доступа и кражи носителей.


Виртуализация: обособленный гипервизор

Виртуализация создаёт неочевидный риск: даже зашифрованные диски гостевой ОС уязвимы, если злоумышленник получает доступ к гипервизору. С уровня гипервизора можно выгрузить файлы ВМ целиком — включая дамп оперативной памяти, где в момент работы находятся ключи расшифровки.

Рекомендация

Если системы критического сегмента развёрнуты в виртуальной среде, выделите под них обособленный гипервизор, администрируемый исключительно с выделенной рабочей станции, не входящей в домен.

Что сделать Как реализовать
Выделить отдельный физический хост под гипервизор критического сегмента Не размещать критические ВМ на общем гипервизоре с операционной инфраструктурой
Изолировать гипервизор от общей сети управления Отдельный интерфейс управления, доступный только с выделенной административной станции
Администрировать гипервизор только с выделенной станции Та же станция, что используется для управления критическим сегментом
Ограничить возможность снятия снапшотов и экспорта ВМ Только для авторизованных административных операций

Почему это работает

Компрометация общего гипервизора даёт атакующему доступ ко всем ВМ на нём — включая дампы памяти с ключами шифрования. Обособленный гипервизор разрывает эту цепочку: чтобы добраться до критических ВМ, нужно отдельно взломать изолированный контур управления.


Обновления и встроенные механизмы безопасности

Уязвимости в ПО — постоянный источник точек входа и повышения привилегий. Критический сегмент должен быть в приоритете процесса управления обновлениями, а не исключением из него.

Рекомендация

Регулярно обновляйте операционные системы и компоненты сервисов критического сегмента. Включите все встроенные механизмы безопасности, реализованные в размещённых сервисах.

Что сделать Как реализовать
Включить критический сегмент в процесс управления обновлениями Регулярная установка патчей ОС и компонентов сервисов
Активировать встроенное шифрование данных в сервисах Шифрование на уровне приложения, если поддерживается
Включить MFA в самих сервисах Не только на уровне ОС, но и в интерфейсах приложений
Отключить неиспользуемые функции и компоненты сервисов Уменьшить поверхность атаки на уровне приложения

Почему это работает

Известные уязвимости без патчей — самый дешёвый способ получить доступ к системе. Встроенные механизмы безопасности сервисов создают дополнительный слой защиты, независимый от конфигурации ОС.


Мониторинг и SIEM

Без видимости в критическом сегменте любая аномальная активность останется незамеченной до момента, когда реагировать уже поздно. Централизованный сбор событий — обязательный элемент архитектуры.

Рекомендация

Настройте централизованный сбор и анализ событий безопасности критического сегмента в SIEM-системе.

Что контролировать Какие события собирать
Уровень ОС Успешные и неудачные входы в систему, создание задач и служб, запуск процессов, изменения конфигурации, подключения по сети
Уровень сервисов Входы в приложение, подключения к базам данных, операции создания / изменения / удаления объектов, изменения прав доступа
Уровень сети Попытки подключения к закрытым портам, исходящие соединения за пределы разрешённых адресов, аномальные объёмы трафика

Почему это работает

Злоумышленник, действующий в критическом сегменте, неизбежно оставляет следы. Централизованный мониторинг сокращает время обнаружения и даёт защитникам возможность среагировать до того, как атака достигла цели.


Защита критически важных устройств ИТ-инфраструктуры

Защита критически важных устройств ИТ-инфраструктуры

Харденинг как стратегия сдерживания

Харденинг как стратегия сдерживания

Реальная цель харденинга — сделать атаку настолько дорогой по времени и ресурсам, чтобы злоумышленник был обнаружен раньше, чем достигнет критических систем.

Комплексная реализация описанных мер создаёт именно такие условия: каждый следующий шаг атакующего требует больше усилий, оставляет больше следов и даёт команде реагирования больше времени на обнаружение и локализацию угрозы.

Практический первый шаг — провести инвентаризацию: какие системы сейчас входят в домен, где хранятся учётные данные от критических сервисов и есть ли у резервных копий сетевая доступность из основной инфраструктуры. Ответы на эти три вопроса покажут, с чего начинать.


Часто задаваемые вопросы

Часто задаваемые вопросы

Что такое харденинг ИТ-инфраструктуры?

Харденинг — это процесс целенаправленного снижения поверхности атаки на компоненты ИТ-инфраструктуры: отключение неиспользуемых протоколов и сервисов, ограничение привилегий, настройка аутентификации и шифрования. Цель: сделать каждый компонент максимально устойчивым к компрометации, даже если периметр уже преодолён.

Какие системы являются критически важным сегментом инфраструктуры?

Критический сегмент — это системы, компрометация которых делает невозможным восстановление после инцидента или открывает атакующему полный контроль над организацией. В большинстве инфраструктур это средства защиты информации, хранилища секретов и аутентификационных данных, системы резервного копирования и инфраструктура виртуализации.

Что защищать в критическом сегменте?

Приоритет определяется ролью системы в финальной фазе атаки: резервные копии уничтожают, чтобы лишить организацию возможности восстановиться, хранилища секретов — чтобы эскалировать привилегии, гипервизоры дают доступ ко всем гостевым ВМ разом, средства защиты отключают, чтобы действовать незаметно. Active Directory — не часть критического сегмента, а инфраструктура, от которой он должен быть изолирован.

Как настроить харденинг критического сегмента без простоя?

Большинство мер применяются поэтапно и не требуют остановки сервисов. Начинать стоит с инвентаризации и изменений, не затрагивающих работу сервисов: аудит прав, отключение неиспользуемых протоколов, настройка мониторинга. Вывод систем из домена и перенастройка аутентификации требуют планового технологического окна, но не экстренного простоя.

Нужно ли выводить критические системы из домена Active Directory?

Да. Сервер в домене AD наследует всю его поверхность атаки. При полной компрометации домена злоумышленник получает инструменты для продвижения к любому доменному хосту через общие механизмы аутентификации. Вывод критических систем за пределы домена разрывает эту цепочку на архитектурном уровне.

Как проверить настройки перед внедрением в рабочую среду?

Изменения конфигурации критического сегмента стоит проверять на тестовом стенде, воспроизводящем целевую среду. Для оценки защищённости используют сканеры конфигураций, ручной аудит прав и сетевых правил, а также контролируемые тесты на проникновение с фиксацией результатов до и после изменений.

Какие ошибки чаще всего допускают при харденинге инфраструктуры?

Наиболее распространённые: размещение критических систем в домене AD, хранение привилегированных учётных данных в доменной инфраструктуре (включая персональные парольные менеджеры, используемые на доменных хостах системных администраторов), сетевая доступность резервных копий из основного сегмента, отсутствие MFA на административных интерфейсах и использование одних и тех же паролей в разных сегментах. Каждая из этих ошибок встречается в реальных инцидентах и напрямую влияет на то, достигает ли атакующий финальной цели.

Импортозамещение КИИ в 2026: сроки, требования и план перехода
С 2025 года часть запретов на иностранное ПО и СЗИ уже действует. Базовый дедлайн перехода — 2028 год, штрафы за нарушение сроков готовятся. Разбираем требования, сроки и план действий на 2026 год.
Пассворк: как разделить контуры ИБ и бизнеса
ИБ-секреты отличаются от обычных корпоративных доступов: компрометация пароля от SIEM — это потеря контроля над всей защитной инфраструктурой. Разбираем, когда достаточно одной инсталляции Пассворка, а когда нужен физически изолированный ИБ-контур.
Кейс-стади: ВкусВилл и Пассворк
ИТ-команда ВкусВилла искала инструмент для централизованного хранения секретов с LDAP-интеграцией и надёжным резервированием. Рассказываем, как выбирали, внедряли и как это устроено сейчас.

Харденинг критического сегмента ИТ-инфраструктуры: что защищать и как настроить

Разбор реальных кибератак от экспертов F6 и Пассворка. Практические рекомендации по харденингу критического сегмента: от изоляции систем от Active Directory до защиты гипервизоров. Узнайте, как сделать продвижение атакующего внутри сети экономически невыгодным.

21 июня 2026 г.
Импортозамещение КИИ в 2026 году: сроки, требования и план перехода
Обновление в июне 2026 года. 6 июня Минцифры подтвердило, что в 2026 году планирует подготовить нормативную базу для введения серьёзных финансовых штрафов за несоблюдение сроков перевода значимых объектов КИИ на российское ПО. При этом сами сроки перехода 2028, 2031, 2036 годов и условия специальных отсрочек остаются проектируемыми до утверждения соответствующего правительственного акта (Интерфакс, 2026).

Данные в материале актуальны на июнь 2026 года.

В 2025 году ФСТЭК проверила более 700 значимых объектов КИИ и выявила свыше 1 200 нарушений в части обеспечения информационной безопасности. Направлено более 2 000 требований об устранении недочётов и составлено 603 протокола об административных правонарушениях.

Показательна и другая цифра: по данным, озвученным начальником управления ФСТЭК Еленой Торбенко на «Инфофоруме 2026», лишь 35% проверенных объектов КИИ соответствуют минимальному базовому уровню безопасности. Там же она сообщила, что в этом году ФСТЭК увеличит количество проверок.

Государство намерено сделать процесс перехода на российское ПО неизбежным. В том числе через финансовое принуждение:

«Ключевой вызов этого года — сформировать базу для придания этому процессу неизбежности. Тогда, если компания не хочет переходить на российское ПО и ПАКи на КИИ-объектах, пусть пополняет бюджет, из которого мы будем стимулировать дальше этот процесс. В нашем понимании единственный механизм принуждения — это всё-таки какие-то серьёзные штрафы финансовые на те компании, которые нарушают сроки», — Максут Шадаев, министр цифрового развития РФ (Интерфакс, 2026)

В то же время регулирование стало сложнее. 58-ФЗ, типовые отраслевые объекты, обновлённые формы категорирования, проект постановления Минцифры со сроками 2028–2036 годов — всё это появилось за последние два года. Требования различаются в зависимости от статуса организации, категории объекта и вида актива: ПО, СЗИ (средства защиты информации) или ПАК (программно-аппаратный комплекс). Часть запретов уже действует с 2025 года.


Главное

  • Часть запретов уже действует. С 01.01.2025 иностранные СЗИ запрещены на всех ЗОКИИ, иностранное ПО — на ЗОКИИ госорганов и госкомпаний. Это действующие нормы.
  • Проектируемый базовый дедлайн — 01.01.2028. К этой дате доля российского ПО на всех ЗОКИИ должна составить 100%. Срок содержится в проекте постановления, находящемся в Правительстве, и пока не утверждён окончательно.
  • Специальные сроки 2031 и 2036 годов — не массовая отсрочка. Они обсуждаются только для участников особо значимых проектов и отдельных категорий ЗОКИИ. Рассчитывать на них без документальных оснований не следует.
  • Штрафы за нарушение сроков готовятся. В июне 2026 года Минцифры подтвердило намерение сформировать нормативную базу для серьёзных финансовых санкций. Действующей нормой они пока не являются, но при планировании этот риск уже нужно учитывать.
  • Регулирование усложнилось. 58-ФЗ, типовые отраслевые объекты, обновлённые формы категорирования — всё это появилось за последние два года. Требования различаются в зависимости от статуса организации, категории объекта и вида актива: ПО, СЗИ или ПАК.
  • 2026 год — время подготовки, а не ожидания. Лишь 35% проверенных объектов КИИ соответствуют базовому уровню безопасности. ФСТЭК увеличивает число проверок. Компании, которые начнут аудит и ревизию категорирования сейчас, к дедлайну подойдут с готовым планом.

Что изменилось в импортозамещении КИИ к 2026 году

Регулирование критической информационной инфраструктуры (КИИ) менялось поэтапно, каждый этап добавлял новые обязанности для субъектов.

До 2025 года основу составляли Указы Президента № 166 и № 250. Первый ограничивал закупки иностранного ПО для значимых объектов КИИ (ЗОКИИ) без согласования и запрещал его использование на объектах госорганов и госкомпаний с 01.01.2025. Второй обязал всех владельцев ЗОКИИ перейти на российские средства защиты информации (СЗИ) — также с 01.01.2025. Оба указа касались конкретных категорий субъектов и не создавали единой системы управления переходом.

С 1 сентября 2025 вступил в силу 58-ФЗ и изменил архитектуру регулирования. Он существенно расширил полномочия Правительства РФ и создал нормативную основу для системного перехода на российское ПО и программно-аппаратные комплексы (ПАК) на значимых объектах КИИ. Правительство получило право устанавливать:

  • перечни типовых отраслевых объектов КИИ;
  • отраслевые особенности категорирования;
  • порядок и сроки перехода на российское ПО и ПАК;
  • требования к ПАК для ЗОКИИ;
  • порядок мониторинга исполнения этих обязанностей.

В 2026 году появились первые подзаконные акты, реализующие 58-ФЗ. Постановление Правительства № 402 от 13.04.2026 установило отраслевые особенности категорирования объектов КИИ в сфере связи — они вступают в силу с 01.09.2026.

В мае 2026 года Минцифры представило проект постановления о сроках перехода ЗОКИИ на российское ПО с диапазоном 2028–2036 годов. По состоянию на июнь 2026 года проект находится в Правительстве и не утверждён окончательно.

2026 год — не период ожидания дедлайна 2028 года. Уже сейчас нужно уточнить состав объектов КИИ, провести аудит иностранного ПО и СЗИ, проверить наличие российских аналогов и подготовить согласованные дорожные карты перехода.

Период Документ Что изменилось
До 2025 Указ Президента № 166 Ограничение закупок иностранного ПО для ЗОКИИ без согласования; с 01.01.2025 — запрет использования на объектах госорганов и госкомпаний
Указ Президента № 250 Обязанность всех владельцев ЗОКИИ перейти на российские СЗИ; с 01.01.2025 — запрет использования иностранных СЗИ на ЗОКИИ
01.09.2025 58-ФЗ от 07.04.2025 Правительство получило право устанавливать типовые отраслевые объекты КИИ, отраслевые особенности категорирования, порядок и сроки перехода на российское ПО и ПАК, требования к ПАК, порядок мониторинга
13.04.2026 Постановление Правительства № 402 Отраслевые особенности категорирования объектов КИИ в сфере связи; вступают в силу с 01.09.2026
Май 2026 Проект постановления Минцифры Предложены сроки перехода ЗОКИИ на российское ПО: базовый — 01.01.2028, специальные сценарии — 01.01.2031 и 01.01.2036; на дату публикации не утверждён

Кого касаются требования: субъект КИИ, объект КИИ, ЗОКИИ и типовые отраслевые объекты

Субъект КИИ — государственный орган, государственное учреждение или российское юридическое лицо, которому принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) или автоматизированные системы управления (АСУ ТП) в критически важных сферах. После принятия 58-ФЗ индивидуальные предприниматели исключены из этого перечня.

Объект КИИ — конкретная ИС, ИТКС или АСУ ТП, принадлежащая субъекту. Не каждый объект автоматически становится значимым: статус присваивается только по результатам категорирования. Значимый объект КИИ (ЗОКИИ) — тот, которому присвоена одна из трёх категорий значимости. Именно к ЗОКИИ применяются требования по импортозамещению ПО, СЗИ и ПАК.

Отдельный инструмент — типовые отраслевые объекты КИИ: перечни типов ИС, ИТКС и АСУ, утверждаемые Правительством РФ по отраслям. Они служат ориентиром для выявления объектов, подлежащих категорированию, — первый такой перечень утверждён распоряжением № 360-р от 26.02.2026.

Понятие Определение Пример Последствия для импортозамещения
Субъект КИИ Организация — владелец ИС, ИТКС или АСУ ТП в критических сферах Банк, оператор связи, энергокомпания, больница Обязан выявлять и категорировать объекты КИИ
Объект КИИ Конкретная ИС, ИТКС или АСУ ТП, принадлежащая субъекту ERP-система, диспетчерская АСУ, биллинговая платформа Подлежит категорированию; не каждый объект становится значимым
Значимый объект КИИ (ЗОКИИ) Объект, которому присвоена одна из трёх категорий значимости по результатам категорирования Система управления энергоснабжением 1-й категории Требования по импортозамещению ПО, СЗИ и ПАК — обязательны
Типовой отраслевой объект КИИ Тип ИС, ИТКС или АСУ из перечня, утверждённого Правительством РФ Система мониторинга сети связи, платёжная система Служит ориентиром для выявления объектов и ревизии категорирования

Отрасли, на которые распространяется 187-ФЗ

Согласно Федеральному закону от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», к субъектам КИИ относятся организации в сферах:

  • здравоохранения, науки, транспорта, связи, энергетики;
  • банковской и иной финансовой деятельности;
  • топливно-энергетического комплекса;
  • атомной, оборонной, ракетно-космической промышленности;
  • горнодобывающей, металлургической и химической промышленности;
  • государственной регистрации прав на недвижимость.

Три категории значимости

Три категории значимости (первая, вторая и третья) определяют объём требований к системе обеспечения информационной безопасности (СОИБ). Первая категория соответствует наиболее критичным объектам и предполагает максимально жёсткие требования; третья — минимальные. Если объект КИИ не соответствует ни одному из критериев значимости, категория ему не присваивается.

Категорию объекту присваивают сами субъекты КИИ на основании оценки по пяти критериям, закреплённым в ст. 7 № 187-ФЗ:

Критерий значимости Что оценивается
Социальная Возможный ущерб жизни и здоровью людей, нарушение работы объектов жизнеобеспечения, транспортной инфраструктуры, сетей связи или доступа к государственным услугам
Политическая Риск ущерба интересам России во внутренней и внешней политике
Экономическая Прямой и косвенный ущерб субъектам КИИ и бюджетам Российской Федерации
Экологическая Уровень воздействия на окружающую среду при нарушении работы объекта
Значимость для обороны и безопасности Влияние на обороноспособность страны, государственную безопасность и правопорядок

Результаты категорирования субъект КИИ направляет в ФСТЭК России в течение 10 дней после принятия решения. Регулятор в течение 30 дней проверяет правильность присвоения категории.


Сроки перехода на российское ПО, СЗИ и ПАК

Проектируемый базовый срок перехода значимых объектов КИИ на российское ПО — 1 января 2028 года. По состоянию на июнь 2026 года этот срок содержится в проекте постановления, находящемся в Правительстве, и должен применяться после утверждения соответствующего акта. К этой дате доля российского программного обеспечения на ЗОКИИ должна составлять 100%.

Для отдельных сценариев в публикациях о проекте фигурируют специальные сроки — 1 января 2031 года и 1 января 2036 года. Обсуждаются следующие сценарии: участие в особо значимых проектах (ОЗП) с началом замещения до 01.09.2026, отсутствие российских аналогов, заключение контрактов ОЗП в 2026–2028 годах, а также отдельные условия для объектов КИИ второй и третьей категорий. До утверждения постановления эти условия следует считать проектируемыми и проверять по финальной редакции акта.

Матрица сроков: от 2022 до 2036 года (актуально на июнь 2026)

Дата Событие Кого касается Статус
31.03.2022 Ограничения на закупку иностранного ПО для ЗОКИИ без согласования (Указ Президента № 166) Заказчики по 223-ФЗ, владельцы ЗОКИИ в установленных случаях Действует
01.01.2025 Запрет использования иностранного ПО на ЗОКИИ госорганов и госкомпаний (Указ № 166 в ред. от 07.04.2025); запрет иностранных СЗИ на всех ЗОКИИ (Указ № 250) Госорганы, государственные организации, все владельцы ЗОКИИ в части СЗИ Действует
01.09.2025 Вступление в силу 58-ФЗ: расширение полномочий Правительства, новый порядок ведения реестра ЗОКИИ, обновлённая форма сведений о категорировании (Приказ ФСТЭК № 247) Все субъекты КИИ Действует
01.03.2026 Вступление в силу ряда требований 325-ФЗ и Приказа ФСТЭК № 117 для ГИС и систем государственных органов, ГУПов, учреждений Субъекты КИИ, владеющие ГИС; государственные органы и учреждения Действует
01.09.2026 Отраслевые особенности категорирования объектов КИИ в сфере связи (Постановление Правительства № 402 от 13.04.2026) Операторы связи и субъекты КИИ в сфере связи Вступает в силу
До 01.09.2026 Федеральные органы власти, Банк России, «Роскосмос» и «Росатом» обязаны утвердить отраслевые планы перехода на российское ПО и назначить ответственных (не ниже заместителя руководителя) Федеральные министерства и ведомства, госкорпорации Проектируется в рамках предложений Минцифры
01.01.2028 Базовый срок: 100% российского ПО на ЗОКИИ Все владельцы ЗОКИИ Проектируется; ключевой ориентир
01.01.2031 Предложенный срок для ЗОКИИ, где до 01.01.2026 реализован особо значимый проект, или заключён контракт на разработку российского ПО до 01.09.2027 Отдельные ЗОКИИ при выполнении условий Проект постановления; не утверждён
01.01.2036 Предложенный срок для ЗОКИИ, в отношении которых в 2026–2027 годах запущены особо значимые проекты Узкий круг ЗОКИИ при выполнении условий Проект постановления; не утверждён
⚠️
Важно. Сроки 2031 и 2036 годов — не массовая отсрочка. Они обсуждаются только для узких сценариев и не распространяются на всех субъектов КИИ. Рассчитывать на эти сроки без документально подтверждённых оснований не следует.

Ответственность за нарушение сроков: что известно на июнь 2026 года

Действующие административные составы за нарушения требований безопасности КИИ сохраняются. Отдельные штрафы именно за несоблюдение сроков перехода ЗОКИИ на российское ПО на дату публикации находятся в стадии подготовки: Минцифры заявило, что в 2026 году намерено сформировать нормативную базу для серьёзных финансовых санкций (Интерфакс, 2026). При планировании перехода штрафной риск уже нужно учитывать, но описывать его как действующую норму преждевременно.

Сроки по видам активов

Вид актива Базовый срок Условия продления Нормативная основа
Иностранное ПО на ЗОКИИ госорганов и госкомпаний 01.01.2025 (запрет использования) Нет Указ № 166 (ред. 07.04.2025)
Иностранные СЗИ на всех ЗОКИИ 01.01.2025 (запрет использования) Нет Указ № 250
Всё иностранное ПО на ЗОКИИ 01.01.2028 (100% российского ПО) 01.01.2031 или 01.01.2036 при выполнении условий Проект постановления Правительства (Минцифры, май 2026)
Доверенные ПАК 01.01.2030 (базовый ориентир) Возможно продление при отсутствии аналога Требования к ПАК — устанавливаются Правительством по 58-ФЗ
ПО для новых типовых объектов КИИ (созданных после 01.01.2027) 5 лет с даты вступления в силу изменения перечня типовых объектов Проект постановления Правительства

Нормативная база: какие документы учитывать

Нормативная карта импортозамещения КИИ включает несколько уровней: базовый закон, президентские указы, правительственные акты и ведомственные приказы. Для практической работы важно понимать, какой документ регулирует какой аспект.

Карта нормативных актов

  • 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — базовый закон. Вводит понятия субъекта КИИ, объекта КИИ, значимого объекта КИИ, устанавливает требования к безопасности и взаимодействию с ГосСОПКА (государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации).
  • 58-ФЗ от 07.04.2025 — поправки к 187-ФЗ, вступившие в силу 01.09.2025. Расширяют полномочия Правительства: устанавливать типовые отраслевые объекты, отраслевые особенности категорирования, порядок и сроки перехода на российское ПО и ПАК, требования к ПАК, порядок мониторинга. Исключают ИП из числа субъектов КИИ. Обязывают субъектов КИИ использовать на ЗОКИИ ПО из реестра российского ПО Минцифры.
  • Указ Президента РФ № 166 от 30.03.2022 (в ред. от 07.04.2025) — ограничивает закупки иностранного ПО для ЗОКИИ без согласования. С 01.01.2025 устанавливает запрет использования иностранного ПО на ЗОКИИ, принадлежащих госорганам и государственным организациям.
  • Указ Президента РФ № 250 — обязывает всех владельцев ЗОКИИ перейти на российские СЗИ. С 01.01.2025 использование иностранных СЗИ на ЗОКИИ запрещено.
  • Постановление Правительства РФ № 402 от 13.04.2026 — утверждает отраслевые особенности категорирования объектов КИИ в сфере связи. Вступает в силу 01.09.2026. Первый отраслевой акт, реализующий полномочия Правительства по 58-ФЗ.
  • Приказ ФСТЭК России № 117 — с 01.03.2026 обновляет требования защиты информации для государственных информационных систем (ГИС) и иных систем государственных органов, ГУПов и учреждений. Актуален для организаций, у которых объекты КИИ одновременно являются ГИС.
  • Приказ ФСТЭК России № 247 от 11.07.2025 — обновляет форму направления сведений о результатах категорирования объектов КИИ. С 01.09.2025 форма дополнена полем о наименовании типового отраслевого объекта КИИ, доменным именем и внешним сетевым адресом.
  • Постановление Правительства РФ № 127 — устанавливает показатели критериев значимости объектов КИИ и порядок категорирования.
  • Постановление Правительства РФ № 1478 — определяет требования к системам безопасности значимых объектов КИИ.
  • Распоряжение Правительства РФ № 360-р от 26.02.2026 — утверждает перечень типовых отраслевых объектов КИИ. Триггер для ревизии состава объектов у субъектов КИИ.

Как категорирование связано с импортозамещением

Категорирование — отправная точка всего проекта импортозамещения. Объём обязательств по переходу на российское ПО, СЗИ и ПАК напрямую зависит от того, какие объекты признаны значимыми и какую категорию они получили.

58-ФЗ добавил новый инструмент — типовые отраслевые объекты КИИ. Это перечни типов ИС, ИТКС и АСУ, утверждаемые Правительством РФ по отраслям. Они служат ориентиром для выявления объектов, подлежащих категорированию, и позволяют регулятору унифицировать подход к разным субъектам одной отрасли.

Распоряжение Правительства № 360-р от 26.02.2026 утвердило первый такой перечень. Для субъектов КИИ это означает необходимость сверить собственный реестр объектов с типовым перечнем: не исключено, что часть систем, ранее не признававшихся объектами КИИ, теперь попадает в периметр регулирования.

Почему актуализация категорирования критична в 2026 году

Форма направления сведений о результатах категорирования обновлена Приказом ФСТЭК № 247: с 01.09.2025 она включает поле о наименовании типового отраслевого объекта КИИ. Если организация не сверила свои объекты с новыми перечнями и не актуализировала сведения — она рискует направить во ФСТЭК неполные данные.

Реестр ЗОКИИ также получил новый формат регистрационного номера: XXXXXX/Х/XX/Х, где зашифрованы порядковый номер, федеральный округ, сфера деятельности и тип объекта (ИС, АСУ или ИТКС). Сведения из реестра ежемесячно передаются государственным органам, уполномоченным на реализацию государственной политики в соответствующей сфере.

Отраслевые особенности категорирования

Первый отраслевой акт (Постановление Правительства № 402 от 13.04.2026 для сферы связи) вступает в силу 01.09.2026. Он определяет отраслевые признаки значимости и порядок расчёта показателей критериев значимости с учётом специфики телекоммуникационных объектов.

Аналогичные постановления для других отраслей (энергетика, финансы, транспорт, здравоохранение) ожидаются в 2026–2027 годах по мере реализации полномочий Правительства по 58-ФЗ. Субъектам КИИ из этих отраслей стоит отслеживать появление отраслевых актов и закладывать время на ревизию категорирования.

Практическое следствие: если категорирование проводилось до 2025 года и сведения не актуализировались с учётом новых перечней и форм — их нужно пересмотреть. Объём объектов, подпадающих под требования импортозамещения, может измениться.

Что именно нужно заменить: ПО, СЗИ, ПАК и управление доступом

Импортозамещение КИИ охватывает три разных класса активов с разными требованиями, сроками и порядком подтверждения соответствия.

Три класса активов и логика их замены

  • Российское ПО — программный продукт, включённый в единый реестр российского программного обеспечения Минцифры России. Включение в реестр подтверждает российское происхождение, но не означает автоматического соответствия требованиям безопасности для ЗОКИИ. Для ПО, используемого в качестве СЗИ, дополнительно требуется сертификат ФСТЭК или ФСБ.
  • Средства защиты информации (СЗИ) — отдельный класс продуктов: антивирусные средства, межсетевые экраны, системы обнаружения вторжений, средства криптографической защиты, системы управления доступом и аутентификации. Для ЗОКИИ с 01.01.2025 действует запрет использования иностранных СЗИ (Указ № 250). Российское происхождение СЗИ подтверждается реестром Минцифры, а соответствие требованиям безопасности — сертификатом ФСТЭК или ФСБ в зависимости от класса продукта.
  • Доверенные программно-аппаратные комплексы (ПАК) — связка программного и аппаратного компонентов, отвечающая отдельным требованиям доверенности. Требования к ПАК для ЗОКИИ устанавливаются Правительством РФ по 58-ФЗ. Базовый ориентир перехода на доверенные ПАК — 01.01.2030. Сроки и порядок перехода на ПАК отличаются от сроков перехода на ПО: их нельзя смешивать при планировании.

Реестр российского ПО: как проверять

Единый реестр российского ПО ведёт Минцифры России. При проверке продукта важно убедиться:

  • что продукт включён в реестр и запись актуальна;
  • что класс ПО в реестре соответствует функции, для которой оно применяется на ЗОКИИ;
  • что для СЗИ дополнительно получен действующий сертификат ФСТЭК или ФСБ;
  • что продукт функционально совместим с существующей инфраструктурой объекта.

План действий на 2026 год

В 2026 году компании должны провести ревизию объектов, уточнить категорирование, определить состав иностранного ПО/СЗИ/ПАК, проверить наличие российских аналогов и подготовить согласованный план перехода. Это минимальный набор действий, без которого старт миграции в 2027 году окажется неуправляемым. Ниже — Дорожная карта импортозамещения КИИ:

Этап 1

  1. Ревизия объектов КИИ. Сверьте реестр объектов организации с распоряжением Правительства № 360-р (перечень типовых отраслевых объектов КИИ). Проверьте, не появились ли системы, которые теперь подпадают под определение типового отраслевого объекта КИИ, но ранее не были включены в реестр.
  2. Актуализация сведений о категорировании. Обновите форму направления сведений во ФСТЭК с учётом Приказа № 247: добавьте наименование типового отраслевого объекта, доменные имена и внешние сетевые адреса. Если категорирование проводилось до 01.09.2025 — проверьте, нужен ли пересмотр категорирования и актуализация сведений во ФСТЭК.
  3. Инвентаризация иностранного ПО, СЗИ и ПАК. Составьте полный реестр иностранного программного обеспечения, средств защиты и программно-аппаратных комплексов на каждом ЗОКИИ. Зафиксируйте: вендор, версия, функция, наличие или отсутствие поддержки, наличие российского аналога.
  4. Назначение ответственных. Определите должностное лицо, ответственное за организацию перехода. Для федеральных органов власти и госкорпораций это требование закреплено в предложениях Минцифры: ответственный — не ниже заместителя руководителя.

Этап 2

  1. Анализ покрытия и матрица аналогов. Для каждой позиции реестра иностранного ПО/СЗИ/ПАК определите российский аналог: проверьте наличие в реестре Минцифры, наличие сертификата ФСТЭК/ФСБ (для СЗИ), функциональную совместимость с инфраструктурой объекта.
  2. Оценка рисков миграции. Оцените технические риски для каждого объекта: несовместимость с другими компонентами, деградация производительности, отсутствие функциональных аналогов, зависимость от иностранного оборудования. Для объектов без российского аналога — зафиксируйте основания для возможного продления срока.
  3. Запуск пилотов. Проведите пилотное тестирование приоритетных российских решений в среде, максимально приближённой к промышленной.

Этап 3

  1. Подготовка и согласование дорожной карты. Сформируйте документированный план перехода: объекты, решения, сроки, ответственные, контрольные точки. Для федеральных органов и госкорпораций — отраслевой план до 01.09.2026 (согласно предложениям Минцифры).
  2. Контроль подрядчиков. Опишите права доступа, обязанности и ответственность внешних подрядчиков, участвующих в проекте миграции. Проверьте, используют ли подрядчики иностранные инструменты для удалённого доступа к ЗОКИИ.
  3. Подготовка плана отката. Для каждого этапа миграции разработайте план возврата к предыдущему состоянию. Миграция без плана отката — один из главных технических рисков проекта.

Импортозамещение КИИ — это управляемый проект

Импортозамещение КИИ — это управляемый проект

Переход на российское ПО, СЗИ и ПАК на значимых объектах КИИ — многоэтапная программа, которая требует корректного определения объектов, инвентаризации активов, проверки аналогов и поэтапной миграции с контролем доступа и документированным планом отката.

Компании, которые начнут с ревизии категорирования и аудита иностранного ПО в 2026 году, к дедлайну 2028 года подойдут с готовым планом.

Практический первый шаг — зафиксировать, какое иностранное ПО, СЗИ и ПАК используется на каждом ЗОКИИ, кто имеет к ним доступ и есть ли российские аналоги с необходимыми сертификатами. Результаты этой инвентаризации станут основой дорожной карты и аргументом при взаимодействии с ФСТЭК.

CTA Image

Управление учётными данными подрядчиков и сотрудников — отдельное требование при проверке ФСТЭК. Менеджера паролей и секретов Пассворк сертифицирован ФСТЭК и включён в реестр российского ПО Минцифры. Протестировать можно бесплатно


Часто задаваемые вопросы

Часто задаваемые вопросы

Кого касается импортозамещение КИИ в 2026 году?

Требования распространяются на субъекты критической информационной инфраструктуры (КИИ) — организации из 13 отраслей, перечисленных в Федеральном законе № 187-ФЗ: энергетика, здравоохранение, транспорт, финансы, связь, оборонная промышленность и другие. Обязательства касаются тех, кто владеет значимыми объектами КИИ (ЗОКИИ) первой, второй или третьей категории.

До какого срока нужно перейти на российское ПО на значимых объектах КИИ?

Базовый срок — 1 января 2028 года: к этой дате доля российского ПО на ЗОКИИ должна составлять 100%. Для отдельных сценариев Минцифры предложило сроки 1 января 2031 года и 1 января 2036 года. По состоянию на июнь 2026 года эти сроки содержатся в проекте постановления Правительства и не являются окончательно утверждёнными нормами. Рассчитывать на них без документально подтверждённых оснований не следует.

Чем отличается субъект КИИ от значимого объекта КИИ?

Субъект КИИ — организация, которой принадлежат ИС, ИТКС или АСУ ТП в критически важных сферах. Значимый объект КИИ — конкретная система или сеть, которой присвоена категория значимости (первая, вторая или третья) по результатам категорирования. Не вся инфраструктура субъекта автоматически является значимым объектом: статус присваивается только после прохождения процедуры категорирования и направления сведений во ФСТЭК.

Что такое типовые отраслевые объекты КИИ и зачем они нужны?

Типовые отраслевые объекты КИИ — перечни типов ИС, ИТКС и АСУ по отраслям, утверждаемые Правительством РФ на основании 58-ФЗ. Они служат ориентиром для выявления объектов, подлежащих категорированию, и унифицируют подход к субъектам одной отрасли. Первый перечень утверждён распоряжением № 360-р от 26.02.2026. Субъектам КИИ необходимо сверить свой реестр объектов с этим перечнем.

Достаточно ли включения продукта в реестр российского ПО для использования на ЗОКИИ?

Для подтверждения российского происхождения ПО реестр Минцифры необходим. Но для средств защиты информации этого недостаточно: нужен действующий сертификат ФСТЭК или ФСБ в зависимости от класса продукта. Кроме того, нужно проверить функциональную совместимость с инфраструктурой конкретного объекта и соответствие классу защищаемой системы.

Чем доверенный ПАК отличается от российского ПО?

Российское ПО — программный продукт, соответствующий критериям отечественного происхождения и включённый в реестр Минцифры. Доверенный ПАК — связка программного и аппаратного компонентов, отвечающая отдельным требованиям доверенности, которые устанавливает Правительство РФ по 58-ФЗ. Сроки и порядок перехода на ПО и ПАК различаются: проектируемый базовый ориентир для ПАК — 01.01.2030, для ПО — 01.01.2028. Оба срока содержатся в проектируемых актах и подлежат уточнению после их утверждения.

Что нужно сделать субъекту КИИ в 2026 году?

Провести ревизию реестра объектов с учётом типовых отраслевых перечней, актуализировать сведения о категорировании во ФСТЭК, составить реестр иностранного ПО/СЗИ/ПАК, проверить российские аналоги и их совместимость, запустить пилоты, подготовить дорожную карту, назначить ответственного и описать права доступа подрядчиков.

Как связаны импортозамещение и управление доступом?

Импортозамещение меняет состав ПО и СЗИ, но не устраняет угрозы, связанные со слабыми паролями, общими учётными записями и неуправляемым привилегированным доступом. По данным проверок ФСТЭК (2025), при проверке более 700 ЗОКИИ выявлено свыше 1 200 нарушений в части информационной безопасности. Контроль идентификации, аутентификации и прав доступа должен быть частью проекта миграции, а не отдельной задачей.

Можно ли отложить импортозамещение КИИ?

В публикациях о проекте обсуждаются специальные сроки для нескольких сценариев: участие в особо значимых проектах с началом замещения до 01.09.2026, отсутствие российских аналогов, заключение контрактов ОЗП в 2026–2028 годах, а также отдельные условия для объектов КИИ второй и третьей категорий. Окончательный перечень условий зависит от утверждённой редакции постановления. Ни один из этих сценариев не действует автоматически.

Какие ошибки чаще всего допускают при импортозамещении КИИ?

Считать срок 2028 года дальним, не актуализировать категорирование после появления типовых перечней, менять решения без проверки сертификатов, проводить пилот только на изолированном стенде, не контролировать доступы подрядчиков, не готовить план отката и не синхронизировать изменения ПО с обновлением документации ФСТЭК.

Первый менеджер паролей с сертификацией ФСТЭК России
30 апреля 2026 года Пассворк получил сертификат ФСТЭК России № 5063 по 4-му уровню доверия — наивысшему для коммерческих средств защиты информации. Пассворк стал первым российским менеджером паролей, который может применяться в ГИС, ИСПДн, КИИ и АСУ ТП 1 класса защищённости.
Кейс-стади: ВкусВилл и Пассворк
ИТ-команда ВкусВилла искала инструмент для централизованного хранения секретов с LDAP-интеграцией и надёжным резервированием. Рассказываем, как выбирали, внедряли и как это устроено сейчас.
Пассворк: как разделить контуры ИБ и бизнеса
ИБ-секреты отличаются от обычных корпоративных доступов: компрометация пароля от SIEM — это потеря контроля над всей защитной инфраструктурой. Разбираем, когда достаточно одной инсталляции Пассворка, а когда нужен физически изолированный ИБ-контур.

Импортозамещение КИИ в 2026 году: сроки, требования и план перехода

С 2025 года часть запретов на иностранное ПО и СЗИ уже действует. Базовый дедлайн перехода — 2028 год, штрафы за нарушение сроков готовятся. Разбираем требования, сроки и план действий на 2026 год.

9 июня 2026 г.
Что такое генератор паролей: как он работает и как использовать его безопасно

Генератор паролей — инструмент, который автоматически создаёт случайные комбинации символов заданной длины и состава. Его используют, чтобы получить уникальные пароли для разных сервисов и снизить риск угадывания, перебора и повторного использования учётных данных.

Вместо того чтобы придумывать комбинацию самостоятельно (и неосознанно тяготеть к именам, датам и предсказуемым шаблонам) вы получаете готовый случайный пароль за секунду. Именно случайность отличает сгенерированный пароль — алгоритм не знает ни вашего имени, ни любимого года, ни привычки заменять а на @.


Главное

  • Длина важнее состава. Надёжный пароль — длинный, случайный и уникальный для каждого сервиса. 16 случайных символов надёжнее, чем 8 с @ в конце.
  • Онлайн-генератор безопасен только при локальной генерации. Пароль должен создаваться в браузере и не передаваться на сервер. Случайные сайты без информации о владельце — риск.
  • Языковые модели не подходят для генерации паролей. Они предсказывают вероятные последовательности, а не создают криптографически случайные данные.
  • Сильный пароль нужно проверять по базам утечек. Он мог быть скомпрометирован раньше, чем вы его придумали.
  • Генератор создаёт, менеджер паролей хранит. Без хранилища сгенерированная комбинация окажется в заметках или таблице, что сводит на нет её преимущества.

Что такое генератор паролей

Генератор паролей — это программный инструмент, который создаёт пароль по заданным параметрам: длина, набор символов (строчные и заглавные буквы, цифры, спецсимволы), исключение похожих или неоднозначных символов. Пользователь настраивает требования — генератор выдаёт готовую комбинацию, которую человек не придумывал и не мог предсказать.

Генератор может быть встроен в менеджер паролей, браузер, корпоративную систему управления доступом или работать как отдельный онлайн-инструмент. Разница между этими вариантами принципиальна не только с точки зрения удобства, но и безопасности — об этом подробнее в разделе про онлайн-генераторы.

0:00
/0:23

Генератор паролей в Пассворке

Главное, что отличает сгенерированный пароль от придуманного вручную: случайность. Человек неосознанно тяготеет к предсказуемым шаблонам — именам, датам, словам с заменой букв на цифры. Генератор этих паттернов лишён.


Как работает генератор паролей

Генератор паролей создаёт комбинацию в несколько шагов, и ключевой из них — получение случайных значений из надёжного источника. Именно здесь кроется главное различие между безопасными и небезопасными реализациями.

  1. Пользователь задаёт параметры. Длина пароля, типы символов (буквы, цифры, спецсимволы), исключения (например, символы 0, O, l, 1, которые легко перепутать).
  2. Генератор обращается к источнику случайности. Надёжные реализации используют CSPRNG (криптографически стойкий генератор псевдослучайных чисел). Он опирается на энтропию операционной системы: случайные события — движение мыши, сетевые пакеты, прерывания процессора. Слабые реализации используют обычный PRNG (генератор псевдослучайных чисел), который инициализируется предсказуемым значением — например, временем запуска.
  3. Алгоритм собирает комбинацию. Случайные значения отображаются на допустимые символы из выбранного набора. Если задано условие «обязательное наличие цифр и спецсимволов», алгоритм гарантирует их наличие.
  4. Инструмент показывает пароль пользователю. Готовая комбинация отображается на экране. Пользователь может скопировать её или сразу использовать — в зависимости от того, куда встроен генератор.
  5. Пользователь сохраняет пароль. Сгенерированный пароль нужно немедленно сохранить в менеджере паролей. Хранение в буфере обмена, заметках или таблицах сводит на нет преимущества сильной комбинации.

Как это реализовано в Пассворке. Генератор работает на основе CSPRNG — берёт энтропию из операционной системы и гарантирует криптографически стойкую случайность — каждое значение непредсказуемо и равновероятно, воспроизвести или угадать сгенерированную комбинацию невозможно.


Что такое энтропия пароля?

Энтропия пароля — мера непредсказуемости и сложности пароля, определяющая его устойчивость к перебору. Рассчитывается по формуле: $ E = \log_2(R^L) $, где $ R $ — размер алфавита (количество возможных символов), $ L $ — длина пароля. Чем выше энтропия (обычно выше 50 бит считается безопасным), тем сложнее подобрать пароль перебором.

Что такое CSPRNG?

CSPRNG (Cryptographically Secure Pseudo-Random Number Generator) — криптографически стойкий генератор псевдослучайных чисел, специальный алгоритм, который производит последовательности чисел, непредсказуемые и невозможные для воспроизведения без знания начального состояния (seed). В отличие от обычного PRNG, CSPRNG обладает высокой энтропией и используется для генерации криптографических ключей, токенов, соли для хеширования паролей и других критичных для безопасности операций. Примеры: /dev/urandom в Linux, SecureRandom в Java, os.urandom() в Python.

Что такое PRNG?

PRNG (Pseudo-Random Number Generator) — генератор псевдослучайных чисел, алгоритм, который производит последовательность чисел, выглядящих случайными, но на самом деле детерминированных (воспроизводимых при одном и том же начальном значении — seed). Используется в криптографии, моделировании и компьютерных играх, но для криптографических целей требуется криптографически стойкий PRNG (CSPRNG).


Какой пароль считается надёжным

Надёжность пароля определяется не только наличием спецсимволов. Символ @ в конце слова не делает пароль сложным — он лишь добавляет предсказуемый паттерн, который атакующие учитывают при словарных атаках.

Три реальных критерия надёжности:

  • Длина. Каждый дополнительный символ экспоненциально увеличивает число возможных комбинаций. Пароль из 16 случайных символов перебрать значительно сложнее, чем из 8, даже если оба содержат спецсимволы.
  • Случайность. Пароль не должен содержать словарных слов, имён, дат и шаблонов вида P@r0l. Такие комбинации первыми проверяются при атаках подстановкой (credential stuffing) и распылением паролей (password spraying).
  • Уникальность. Один пароль — один сервис. Повторное использование превращает утечку одного ресурса в компрометацию всех остальных.

Дополнительный критерий — отсутствие в базах утечек. Даже длинный случайный пароль может оказаться скомпрометированным, если он уже фигурировал в утечках данных. Сервис Have I Been Pwned позволяет проверить пароль по базе известных утечек без передачи самого пароля в открытом виде.

Минимальная рекомендуемая длина для большинства сервисов — 12–16 символов. Для мастер-пароля менеджера паролей или доступа к критичным системам — от 20 символов.


Что такое подстановка учётных данных?

Подстановка учётных данных (Credential Stuffing) — атака, при которой злоумышленник использует скомпрометированные пары логинов и паролей (полученные из утечек данных) для несанкционированного доступа к другим сервисам. Основана на предположении, что пользователи переиспользуют одни и те же учётные данные на разных платформах.

Что такое распыление паролей?

Распыление паролей (Password Spraying) — метод атаки, при котором злоумышленник использует один или несколько часто встречающихся паролей (например, 123456, qwerty) для попытки входа в большое количество учётных записей. Это позволяет избежать блокировки по количеству неудачных попыток входа и часто более эффективно, чем словарная атака на одного пользователя.

Что такое словарная атака?

Словарная атака — метод взлома, при котором злоумышленник последовательно перебирает пароли из предварительно подготовленного списка (словаря), содержащего распространённые слова, фразы и их комбинации. Эффективна против слабых паролей, но неэффективна против сложных комбинаций символов.


Генератор и проверка надёжности

Введите пароль вручную или нажмите Сгенерировать — инструмент создаст 16-символьную комбинацию с заглавными и строчными буквами, цифрами и спецсимволами. Анализ покажет уровень надёжности, энтропию, состав символов и расчётное время брутфорса такого пароля.

Кнопка Проверить сверяет пароль с базой известных утечек Have I Been Pwned: браузер отправляет только первые пять символов SHA-1-хеша — пароль в открытом виде никуда не передаётся, не сохраняется и не покидает ваш браузер.

Проверка надёжности пароля
Надёжность Введите пароль
0
Символов
0
Бит
0
Уникальных
Взлом
Состав
Заглавные A-Z 0
Строчные a-z 0
Цифры 0-9 0
Спецсимволы 0
Безопасность
Минимум 8 символов
15+ символов
Нет повторов
3+ типа символов
Пароли проверяются локально в вашем браузере. Мы используем алгоритм сравнения с базами утечек: часть хэша пароля сверяется с известными компрометациями. Пароли не сохраняются и не передаются третьим лицам.

Почему нельзя генерировать пароли с помощью ИИ

Языковые модели (LLM) не подходят как инструмент генерации паролей. Причина в природе самих моделей: они обучены предсказывать вероятные последовательности токенов, а не создавать криптографически случайные данные.

Это не теоретическое предположение. В 2025 году Kaspersky провёл тест популярных LLM на качество генерируемых паролей. Результат: 88% паролей DeepSeek, 87% паролей Llama и 33% паролей ChatGPT оказались недостаточно надёжными. В части паролей отсутствовали спецсимволы или цифры, несмотря на явные инструкции их включить.

Проблема структурная: модель воспроизводит паттерны из обучающих данных. Пароли, которые она генерирует, статистически смещены в сторону «типичных» комбинаций — именно тех, которые атакующие проверяют в первую очередь.

LLM полезны для объяснения правил парольной политики, написания документации или анализа требований. Генерировать секреты с их помощью значит полагаться на предсказуемость там, где нужна случайность.


Где используются генераторы паролей

Генераторы паролей встроены в большинство инструментов, которые так или иначе связаны с управлением учётными данными. Контекст использования определяет требования к реализации: корпоративный сценарий отличается от личного не только масштабом, но и уровнем контроля над тем, где и как хранится результат.

  • Менеджеры паролей — основной и наиболее безопасный контекст. Генератор встроен в хранилище: пароль создаётся и сразу сохраняется в зашифрованном виде, не проходя через буфер обмена или заметки.
  • Браузеры — Chrome, Firefox, Safari предлагают встроенную генерацию при заполнении форм регистрации. Удобно для личного использования, но в корпоративном сценарии создаёт проблему: пароли хранятся в браузерном хранилище без централизованного контроля и аудита.
  • Корпоративные системы управления доступом — PAM-решения (privileged access management) и системы управления идентификацией генерируют пароли для привилегированных учётных записей, сервисных аккаунтов и технических пользователей. Здесь генерация часто автоматизирована и не требует участия человека.
  • Онлайн-генераторы — отдельные веб-инструменты без привязки к хранилищу. Подходят для разовых задач при условии, что генерация происходит локально в браузере. Главный риск — неизвестно, логирует ли сервис созданные комбинации.
  • Инструменты разработчика и DevOps — CLI-утилиты, скрипты и менеджеры секретов генерируют пароли, токены и ключи API в автоматизированных пайплайнах.

Как безопасно пользоваться генератором паролей

Алгоритм «Безопасное использование генератора паролей» (8 шагов):

  1. Выберите доверенный генератор. Встроенный в менеджер паролей, корпоративное решение или инструмент известного вендора с открытым кодом. Избегайте случайных сайтов без информации о владельце.
  2. Установите длину от 16 символов и выше. Если сервис ограничивает длину, используйте максимально допустимую. Для критичных систем — от 20 символов.
  3. Включите разные категории символов. Строчные и заглавные буквы, цифры, спецсимволы, если сервис поддерживает. Если совместимость ограничена, приоритет — длина, а не состав.
  4. Создавайте отдельный пароль для каждого сервиса. Один пароль — один ресурс. Без исключений для «неважных» аккаунтов: именно они чаще всего становятся точкой входа.
  5. Сразу сохраняйте пароль в менеджере паролей. Не копируйте в заметки, не отправляйте в мессенджер, не записывайте в таблицу. Менеджер паролей — единственное место хранения.
  6. Включайте MFA для критичных учётных записей. Двухфакторная аутентификация (2FA) снижает риск компрометации, даже если пароль утёк.
  7. Проверяйте старые пароли через механизмы аудита. Сервис Have I Been Pwned позволяет проверить пароль по базе утечек без передачи его в открытом виде. Корпоративные менеджеры паролей делают это автоматически для всего хранилища.
  8. Меняйте пароль после инцидента или подозрения на компрометацию. Плановая смена паролей по расписанию без признаков компрометации — менее приоритетная мера, чем уникальность и длина. Приоритет — реакция на конкретный инцидент или сигнал из базы утечек.

Частые ошибки при создании паролей

Большинство слабых паролей появляются из-за отсутствия удобного инструмента. Когда создать надёжный пароль сложнее, чем написать Qwerty123, люди выбирают простоту.

Ошибка Почему это риск Как правильно
Один пароль для нескольких сервисов Утечка одного ресурса открывает доступ ко всем остальным Уникальный пароль для каждого сервиса
Пароль на основе имени, даты или слова Попадает в словарные атаки и перебирается первым Случайная комбинация из генератора
Хранение в заметках или таблицах Нет контроля доступа, аудита и шифрования Менеджер паролей
Генерация на случайном сайте Неизвестно, логируется ли комбинация Доверенный генератор или локальная генерация
Отказ от MFA Пароль остаётся единственным фактором защиты MFA для всех критичных систем

Пароль создан. Что дальше?

Сгенерированная комбинация из 20 символов не защищает учётную запись, если она хранится в общем чате, используется на двух сервисах одновременно или не подкреплена вторым фактором аутентификации. Генератор решает одну задачу — создать пароль. Хранение, контроль доступа и аудит — отдельные задачи.

Практический первый шаг — проверить, где сейчас хранятся пароли, кто имеет к ним доступ и есть ли среди них слабые или повторяющиеся. Для большинства команд результат этой проверки становится аргументом в пользу менеджера паролей.

CTA Image

В Пассворке генерация паролей встроена в единый контур: настраиваемый генератор, зашифрованное хранилище, аудит, 2FA, SSO и интеграции с AD/LDAP. Протестируйте Пассворк бесплатно


Часто задаваемые вопросы

Часто задаваемые вопросы

Что такое генератор паролей простыми словами?

Генератор паролей — это программа, которая автоматически создаёт случайный набор символов по заданным правилам: длина, буквы, цифры, спецсимволы. Человек не придумывает комбинацию сам — инструмент берёт случайные значения из надёжного источника и собирает из них пароль, который сложно угадать или перебрать.

Для чего нужен генератор паролей?

Генератор решает главную проблему ручного придумывания паролей — предсказуемость. Люди неосознанно используют имена, даты и шаблоны, которые атакующие проверяют в первую очередь. Генератор создаёт уникальную случайную комбинацию для каждого сервиса, снижая риск угадывания, перебора и повторного использования учётных данных.

Как работает генератор паролей?

Генератор получает случайные значения из криптографически стойкого источника (CSPRNG), отображает их на допустимые символы из выбранного набора и собирает комбинацию нужной длины. Надёжные реализации выполняют генерацию на стороне клиента — в браузере или локальном приложении — без передачи результата на сервер.

Безопасно ли использовать онлайн-генератор паролей?

Это зависит от реализации. Безопаснее использовать генератор, который создаёт пароль локально в браузере и не передаёт комбинацию на сервер. Риск возникает при использовании случайных сайтов: такие инструменты могут логировать сгенерированные пароли или собирать технические данные о пользователе.

Чем генератор паролей отличается от менеджера паролей?

Генератор создаёт пароль, а менеджер паролей хранит, заполняет, организует и помогает контролировать пароли. Генератор без хранилища оставляет вопрос «куда сохранить пароль» открытым. В корпоративном сценарии эти функции должны быть объединены: генератор встроен в менеджер паролей.

Что лучше: пароль или парольная фраза?

Для паролей, которые хранит менеджер паролей и подставляет автоматически, оптимальны длинные случайные комбинации символов. Для случаев, где секрет нужно вводить вручную или запоминать (например, мастер-пароль менеджера паролей) удобнее случайная парольная фраза из нескольких слов. Главное условие в обоих случаях — случайность.

Можно ли использовать ИИ для генерации паролей?

Не стоит использовать языковую модель как основной инструмент генерации секретов. По данным Kaspersky (2025), значительная доля паролей, созданных популярными LLM в тесте — 88% у DeepSeek, 87% у Llama и 33% у ChatGPT — оказалась недостаточно надёжной. Языковые модели предсказывают вероятные последовательности, а не создают криптографически случайные данные.

Где хранить сгенерированные пароли?

Сгенерированные пароли нужно сразу сохранять в менеджере паролей — локальном или корпоративном. Хранение в заметках, таблицах, мессенджерах или браузерном буфере обмена без дальнейшего контроля сводит преимущества сильного пароля к нулю. Менеджер паролей обеспечивает шифрование, контроль доступа и возможность аудита.

Кейс-стади: ВкусВилл и Пассворк
ИТ-команда ВкусВилла искала инструмент для централизованного хранения секретов с LDAP-интеграцией и надёжным резервированием. Рассказываем, как выбирали, внедряли и как это устроено сейчас.
Пассворк: как разделить контуры ИБ и бизнеса
ИБ-секреты отличаются от обычных корпоративных доступов: компрометация пароля от SIEM — это потеря контроля над всей защитной инфраструктурой. Разбираем, когда достаточно одной инсталляции Пассворка, а когда нужен физически изолированный ИБ-контур.
11 способов взлома паролей, которые хакеры используют в 2026 году
Больше половины паролей можно подобрать меньше чем за час. Но брутфорс уже не главная угроза. Инфостилеры, AiTM-фишинг, PassGAN и обход MFA — разбираем 11 актуальных методов взлома паролей в 2026 году и даём конкретный чек-лист защиты.

Что такое генератор паролей: как работает и как использовать безопасно

Генератор паролей — инструмент для создания случайных комбинаций символов заданной длины и состава. Разбираем, как он работает, почему ИИ не подходит для генерации секретов и что делать с паролем после создания.

7 июня 2026 г.
Разделение контуров в Пассворке: зачем ИБ-отделу отдельный менеджер паролей

У ИБ-отдела особый класс секретов: доступы к SIEM, EDR, SOAR, аварийные учётные записи, SSH-ключи критичной инфраструктуры. Их чувствительность определяется не только содержимым, но и тем, что они раскрывают — архитектуру защиты и внутреннюю структуру безопасности.

Хранить такие секреты можно двумя способами:

  • Для большинства компаний достаточно логической изоляции: одна инсталляция Пассворка с типами сейфов, ролями, MFA, LDAP/SSO и аудитом. Секреты разделены по назначению и владельцам, доступ разграничен через права и группы.
  • Физическая изоляция (отдельный экземпляр Пассворка для ИБ-контура) нужна там, где данные должны быть скрыты от администраторов общего контура не только на уровне прав, но и на уровне самого факта существования: названий сейфов, структуры папок и журналов активности.

Физическая изоляция наиболее полно реализует принцип нулевого доверия (Zero Trust) через разделение полномочий. В этой модели ИТ-администраторы полностью исключаются из цепочки доверия, а управление системой переходит исключительно к ИБ-администраторам.

Логическая изоляция, в свою очередь, опирается на принцип наименьших привилегий внутри единой системы, где ИТ- и ИБ-контуры делят общую платформу.

Выбор между этими подходами определяет баланс между удобством администрирования и строгостью изоляции на уровне инфраструктуры. В этой статье мы даем архитектурную модель, которая поможет решить: ограничиться логической сегментацией или развернуть физически независимый контур.


Какие секреты хранит ИБ-отдел и почему их нельзя смешивать с обычными доступами

ИБ-секреты отличаются от доступов кадрового отдела, финансов или проектных команд не только уровнем критичности, но и характером чувствительности. Компрометация пароля от корпоративного SaaS — это инцидент. Компрометация доступа к SIEM или EDR — это потенциальная потеря контроля над всей защитной инфраструктурой.

Важно понимать: чувствительными могут быть не только сами пароли, но и метаданные. Названия сейфов, папок, систем и групп, а также характер активности в журнале — всё это раскрывает внутреннюю архитектуру защиты. Злоумышленник, получивший доступ к структуре ИБ-сейфов, уже знает, какие инструменты используются и как организовано реагирование.

Какие секреты требуют особого режима хранения

Категория Примеры Почему чувствительно
Инструменты ИБ SIEM, EDR, SOAR, сканеры уязвимостей Раскрывают архитектуру защиты и сценарии реагирования
Инфраструктурные доступы root/admin-аккаунты, доменные администраторы, гипервизоры, сетевое оборудование, ssh-ключи Компрометация даёт контроль над критичной инфраструктурой
Сертификаты и ключи шифрования TLS/SSL-сертификаты, PKI, ключи подписи Короткий срок жизни, высокий ущерб при утечке или истечении срока
Break-glass (аварийный доступ) Аварийные доступы, резервные административные учётные записи Доступ должен быть редким, контролируемым и полностью журналируемым
Доступы подрядчиков и аудиторов Временные доступы пентестеров, аудиторов ФСТЭК, внешних интеграторов Ограниченный срок действия, высокий риск «забытого» доступа после завершения работ
Метаданные Названия сейфов, папок, систем, групп, журнал активности Могут раскрыть внутреннюю структуру защитных процессов

Прежде чем выбирать архитектуру решения, нужно понять, какие данные компания хранит и какой уровень изоляции каждая категория требует.


Один экземпляр Пассворка с типами сейфов: когда этого достаточно

Одна инсталляция Пассворка с правильно спроектированными типами сейфов, ролями, группами, MFA и LDAP/SSO обеспечивает логическую сегментацию данных и подходит большинству компаний. Администраторы платформы входят в доверенный контур, секреты разделены по назначению и владельцам, а журнал действий фиксирует все события.

Схема: Одна инсталляция — рациональный стандарт по умолчанию.

Одна инсталляция — рациональный стандарт по умолчанию. Она проще в эксплуатации: одно обновление, один процесс резервного копирования, одна интеграция с LDAP/AD и SAML SSO, один регламент. При этом уровень контроля над доступом может быть весьма детальным.

Модель типов сейфов

Типы сейфов в Пассворке — основной инструмент логической сегментации. Это не просто группировка папок: для каждого типа задаются администраторы, права создателя, группы и роли участников, ограничения на создание новых сейфов.

Типы сейфов в Пассворке

При создании типа сейфа администраторы получают доступ автоматически и не могут быть удалены из него другими пользователями.

Пример настройки политик и прав для типов сейфов

Тип сейфа Что хранить Администраторы Особые правила
Личные Индивидуальные рабочие доступы Пользователь Не хранить общие критичные секреты
Командные Кадры, финансы, юристы, продажи, поддержка Владельцы подразделений Периодическая проверка прав доступа
ИТ Серверы, БД, сетевое оборудование ИТ-админы MFA, аудит просмотров и изменений
ИБ (ограниченного доступа) SIEM, EDR, IR-инструменты, сканеры ИБ-админы Минимум администраторов, строгий и регулярный аудит логов
DevOps/CI-CD Токены, SSH-ключи, DSN, интеграции DevOps/SRE-лид Контроль API-доступа и ротации
Аварийный доступ Аварийные учётные записи Минимальный круг лиц Двойной контроль, обязательное расследование каждого доступа

Роли и группы позволяют разграничить доступ подразделений без ручной настройки каждого пользователя. Интеграция с AD/LDAP упрощает добавление новых пользователей и отзыв доступов: сотрудник уходит — доступ отзывается через синхронизацию с каталогом. SAML SSO снижает трение при ежедневной работе. MFA и журнал действий обеспечивают контроль.

Ключевое ограничение этой модели: она остаётся логической, а не физической изоляцией. Администраторы системы с полным набором прав могут видеть структуру сейфов. Если сам факт существования определённых сейфов, их названия или структура не должны быть видны общему администрированию, логической модели может быть недостаточно.

Если этих ограничений достаточно, одна инсталляция закрывает задачу. Если нет, следующий шаг — физическая изоляция.


Два независимых экземпляра Пассворка: когда нужна физическая изоляция

Две независимые инсталляции Пассворка оправданы, когда ИБ-секреты должны быть изолированы не только на уровне прав доступа, но и на уровне отдельного экземпляра: с независимыми администраторами, отдельными политиками безопасности, закрытыми метаданными и чистыми журналами только по действиям ИБ-команды.

Две независимые инсталляции Пассворка: когда нужна физическая изоляция

Два контура дают физическую изоляцию данных — именно то, что нужно, когда требования к безопасности ИБ-контура выходят за рамки логической сегментации. Важно учитывать, что вместе с этим появляются два жизненных цикла, два процесса резервного копирования, два регламента. Это осознанный архитектурный выбор, к которому стоит подойти с чёткими требованиями.

Что даёт физическая изоляция

  • Устойчивость к ошибкам. Ошибка в правах доступа в общем корпоративном контуре не раскрывает ИБ-секреты. Контуры физически разделены: некорректная настройка в одном не затрагивает другой.
  • Закрытые метаданные. Администраторы общего контура не видят структуру ИБ-сейфов: ни названий, ни папок, ни активности. ИТ-администратор бизнес-экземпляра Пассворка не знает, какие системы и инструменты находятся под управлением ИБ-команды.
  • Независимые администраторы. ИБ управляет своим экземпляром самостоятельно без пересечения с ИТ-администраторами общего контура. Каждая команда настраивает свой экземпляр независимо и не имеет прав в чужом контуре.
  • Независимые политики. ИБ применяет собственные настройки: более жёсткие требования к MFA, короткий таймаут сессии, запрет офлайн-доступа, ограничения на экспорт, отдельные правила API-доступа — без компромиссов с требованиями бизнес-подразделений.
  • Чистый журнал. ИБ-инсталляция фиксирует только события ИБ-команды без фонового шума от финансов, продаж и подрядчиков. Это упрощает расследования и сокращает время на анализ.
  • Прозрачность для аудита. Контур проще описывать в документах модели угроз, при прохождении сертификации и внешних аудитов — в том числе по требованиям ФСТЭК и для объектов КИИ. Разделение контуров часто является требованием регулятора.

Когда ИБ-контур требует закрытой сети

Ряд организаций предъявляет требования, которые выходят за рамки настроек доступа: размещение в изолированном сегменте сети без выхода в интернет, запрет на любые входящие соединения извне, доступ только с рабочих станций ИБ-команды.

Это актуально для компаний, где модель угроз предполагает атаку через административный интерфейс, а также для организаций, проходящих аттестацию по требованиям ФСТЭК или работающих с объектами критической информационной инфраструктуры (КИИ). В таких случаях физическая изоляция — не архитектурное предпочтение, а требование регулятора или внутренней политики безопасности.

Пассворк разворачивается на собственных серверах организации, что позволяет разместить ИБ-экземпляр в любом сетевом сегменте, включая полностью закрытый контур без внешних зависимостей.

Сравнение двух моделей

Критерий Одна инсталляция Две независимые инсталляции
Изоляция данных Логическая — через роли и типы сейфов Физическая — через отдельные экземпляры
Видимость метаданных Зависит от администраторской модели Метаданные ИБ-контура не попадают в общий контур
Администраторы Общие или делегированные Независимые администраторы ИБ и бизнеса
Политики безопасности Единые или частично разные Полностью отдельные: MFA, сессии, API, экспорт
Аудит Общий журнал со всеми командами Отдельный журнал ИБ-команды
Эксплуатация Проще: один жизненный цикл продукта Сложнее: два экземпляра, две резервных копии, два процесса обновлений
Риск ошибки при выдаче прав Снижается настройками Ошибка не раскрывает ИБ-данные
Описание в документах Одна система с ролевой моделью Два независимых контура с разными владельцами

Локальный ИБ-инстанс и облако для бизнеса

Вариант «ИБ локально, сотрудники в облаке» — два независимых инстанса разного типа поставки. Между ними нет общего пространства данных, общих администраторов или синхронизации секретов. Локальный экземпляр обслуживает чувствительные ИБ- и инфраструктурные секреты, облачный — массовые бизнес-доступы, если политика классификации данных разрешает такой контур.

Локальный ИБ-инстанс и облачный инстанс для бизнеса: как описывать этот вариант

Такое разделение имеет смысл, когда компания хочет снизить эксплуатационную нагрузку на бизнес-команды (облако проще в управлении), сохранив строгий контроль над критичными секретами на собственной инфраструктуре.

Разделение доступов

Категория данных Рекомендуемый контур Причина
SIEM, EDR, SOAR, IR-инструменты Локальный ИБ-инстанс Метаданные и доступы связаны с защитной инфраструктурой
Доменные и инфраструктурные администраторы Локальный ИБ/ИТ-контур Высокий ущерб при компрометации
Аварийный доступ Локальный ИБ-инстанс Требует строгого контроля и расследования каждого доступа
Бизнес-процессы, финансы, юридические сервисы Облачный или общий корпоративный контур Важны управляемость и удобство
Проектные SaaS и подрядчики Облачный или общий контур Высокая динамика, удобство онбординга

Облако Пассворка можно рассматривать как отдельный облачный экземпляр для бизнес-команд при условии, что политика классификации данных организации допускает хранение соответствующих категорий секретов в облаке.


Отдельный DevOps/SRE-контур: чем он отличается от ИБ-контура

DevOps-контур изолируется по другим причинам, чем ИБ-контур. ИБ-секреты требуют изоляции из-за конфиденциальности, независимого администрирования и требований к аудиту расследований. DevOps-секреты — из-за автоматизации, высокой частоты ротации, машинного потребления через API, CLI и SDK, а также большого числа интеграций с CI/CD-пайплайнами.

На практике: токен CI/CD, который ротируется каждые 24 часа и используется десятками пайплайнов, живёт в другом режиме, чем пароль от SIEM, к которому обращаются раз в неделю.

В одном инстансе можно создать тип сейфов «DevOps/CI-CD» и назначить команду разработчиков его администраторами. Отдельная DevOps-инсталляция оправдана при большом объёме машинных секретов, высокой частоте ротации и независимой команде разработки, которая должна управлять своим контуром без зависимости от общих администраторов.

Пассворк поддерживает API-first подход, CLI и SDK для работы с секретами, включая сценарии миграции, аудита и CI/CD-интеграций. Подробнее — в разделе документации «Пассворк как менеджер секретов».

Сравнение сценариев

Критерий выбора DevOps тип сейфов в общем Пассворке Выделенный DevOps-контур (отдельный инстанс)
Объём и динамика секретов Сравнительно небольшой стек; секреты создаются и меняются вручную или простыми скриптами Сотни и тысячи динамических секретов; постоянный выпуск токенов в CI/CD-пайплайнах
Основные потребители Сотрудники (разработчики, инженеры) и редкие обращения внешних скриптов Преимущественно машины: CI/CD-раннеры, Kubernetes, Ansible, Terraform, микросервисы
Администрирование и права Общие администраторы Пассворка контролируют глобальные настройки и доступ DevOps-команды Полная автономия: DevOps- или Platform-команда сама управляет инстансом, API-ключами и лимитами
Частота и автоматизация ротации Периодическая ручная смена паролей или полуавтоматическая ротация по регламенту Высокочастотная автоматическая ротация (каждые 24 часа или чаще) через API/CLI
Логирование и аудит Журнал действий DevOps-инженеров пишется в общую базу аудита компании Выделенный журнал событий для мониторинга DevOps-активности без смешения с бизнес-логами
Изоляция сред и ИБ-риски Допускается нахождение критических ИТ-паролей и DevOps-токенов в единой базе данных Полная сетевая и логическая изоляция сред разработки и продакшена от корпоративного контура

Как выбрать архитектуру: один или два контура

Выбор архитектуры сводится к вопросу: достаточно ли логической сегментации или данные требуют физической изоляции. Ответ зависит от размера компании, характера секретов, требований к администрированию и регуляторного контекста.

Критерии выбора архитектуры хранения секретов

Критерий выбора Достаточно одной инсталляции (логическая сегментация) Необходимы две инсталляции (физическая изоляция)
Критичность данных Уровень критичности данных позволяет использовать единый периметр безопасности для бизнес- и ИТ-секретов Хранятся корневые доступы, ключи шифрования и пароли от защитных систем
Контроль метаданных Допустима видимость структуры сейфов и названий папок для глобальных администраторов Требуется полный запрет на видимость структуры сейфов и названий систем ИБ-контура для ИТ-персонала
Разделение полномочий ИТ-департамент совмещает роли администратора платформы и её пользователя ИБ-служба администрирует контур независимо, исключая доступ ИТ-специалистов
Регуляторные требования Внутренние и внешние регламенты разрешают совместное хранение всех категорий секретов Стандарты безопасности, модель угроз или регуляторы предписывают физическое разделение сред
Политики безопасности Для всех пользователей действуют единые правила MFA, длины сессий и IP-ограничений Для ИБ- или DevOps-контура необходимы изолированные и более жёсткие политики авторизации и API
Анализ инцидентов и аудит Все события фиксируются в общем системном журнале без разделения по критичности Требуется выделенный, защищённый от изменения аудит-лог только для ИБ- или инфраструктурных событий
Поддержка и эксплуатация Приоритет — минимизация затрат на обслуживание, резервное копирование и обновление одной системы Выделены ресурсы на сопровождение, обновление и резервное копирование двух независимых систем
Масштаб инфраструктуры Локальные ИТ-сервисы, администрируемые единой командой Холдинговая структура, филиальная сеть или изолированные среды разработки

Если сомнения остаются, начните с одной инсталляции и строгой модели типов сейфов. Заранее задайте триггеры перехода ко второй: рост критичных секретов, запрет на видимость метаданных, независимый аудит, отдельные администраторы, требования регулятора или усложнение DevOps-сценариев.


Как внедрить выбранную модель

Внедрение начинается с классификации секретов. Без понимания того, какие данные компания хранит и кто ими владеет, любая архитектура — это структура ради структуры. Пошаговый план перехода к целевой модели:

  1. Классифицировать секреты. Разделить данные на категории: обычные, ИБ-критичные, инфраструктурные, DevOps, аварийные. После этого понятно, какие данные требуют какого уровня изоляции.
  2. Определить владельцев. Назначить ответственного бизнес- или технического владельца для каждого типа. У каждой категории секретов появляется ответственный.
  3. Оценить чувствительность метаданных. Проверить, где опасны даже названия систем, папок и сейфов. Это покажет, где логической изоляции недостаточно.
  4. Определить допустимых администраторов. Решить, кто может управлять контуром и кто не должен иметь технической видимости. Результат: понятная модель доверия и границы администрирования.
  5. Выбрать модель. Одна инсталляция, две локальные, локальный ИБ-контур плюс облачный бизнес-контур или отдельный контур разработки. Архитектурное решение принято и обосновано.
  6. Спроектировать типы сейфов. Создать целевую структуру сейфов, ролей, групп и правил создания. Итог: схема, которую можно реализовать и задокументировать.
  7. Настроить интеграции. LDAP/SSO, MFA, API/CLI/SDK, SIEM, резервное копирование и мониторинг. Каждая интеграция получает чёткие границы и ответственного.
  8. Ввести регулярную проверку прав. Проверять права, администраторов, журналы и структуру сейфов после изменений в командах и инфраструктуре.

Правильная архитектура начинается с классификации

Правильная архитектура начинается с классификации

Число инсталляций — следствие требований к изоляции. Одна инсталляция с продуманной моделью типов сейфов, ролями, LDAP/SSO, MFA и журналом действий закрывает потребности большинства компаний. Две инсталляции нужны там, где физическая изоляция данных, независимые администраторы и отдельный аудит — это обоснованное требование.

Практический первый шаг — провести классификацию секретов: какие данные компания хранит, кто ими владеет, какие метаданные чувствительны и кто допустим как администратор каждого контура. Ответы на эти вопросы определят архитектуру.

Пассворк поддерживает обе модели: логическое разделение через типы сейфов и роли в одной инсталляции, а также независимые локальные и облачные сценарии развёртывания — для организаций, где классификация секретов требует физического разделения.

CTA Image

Если вы проектируете архитектуру хранения секретов и хотите проверить, как выбранная модель работает на практикепротестируйте Пассворк бесплатно в своей инфраструктуре или в облаке и оцените его на реальных задачах. При покупке дополнительных инстансов расширенной версии действует скидка 10%.


Часто задаваемые вопросы

Часто задаваемые вопросы

Нужна ли ИБ-отделу отдельная инсталляция Пассворка?

Отдельный инстанс необходим, если ИБ-отдел хранит секреты, которые не должны быть видны администраторам общего контура даже на уровне структуры: доступы к SIEM, EDR, SOAR, сканерам, аварийные доступы, SSH-ключи, API-токены и сервисные пароли. Если таких требований нет, достаточно одной инсталляции с типами сейфов, ролями, MFA и аудитом.

Когда достаточно одной инсталляции Пассворка?

Одной инсталляции достаточно, когда секреты можно разделить логически через типы сейфов, роли, группы, LDAP/SSO и права доступа, а администраторы платформы входят в доверенный контур. Это проще в эксплуатации и подходит большинству подразделений.

Чем физическое разделение лучше настройки прав доступа?

Физическое разделение снижает риск ошибок при распределении прав и скрывает ИБ-данные из общего контура на уровне отдельного экземпляра. Оно необходимо, когда критично защитить не только пароли, но и метаданные: названия сейфов, систем, папок и журналы активности ИБ-команды.

Что такое типы сейфов в Пассворке?

Типы сейфов — инструмент логической сегментации. Для каждого типа задаются администраторы, права создателя, роли и группы пользователей, а также ограничения на создание новых сейфов. При создании типа сейфа выбранные администраторы получают доступ автоматически и не могут быть удалены другими пользователями.

Может ли администратор общего инстанса видеть ИБ-сейфы?

Это зависит от модели ролей и прав, настроенных в системе. В Пассворке администратор может видеть список всех сейфов в системе, включая их названия и состав пользователей, если ему выданы полные права. Если сам факт существования ИБ-сейфов, их структура или названия не должны быть видны общему администрированию, нужно перенастроить систему ролей или рассмотреть отдельный ИБ-контур.

Как разделить личные, командные и инфраструктурные пароли?

Начните с классификации секретов, определите владельцев и создайте типы сейфов: личные, командные, ИТ, ИБ, DevOps, проектные и сервисные аккаунты. Для каждого типа задайте администраторов, права, MFA, аудит и даты аудита.

Как организовать аудит действий ИБ-команды?

При работе ИБ в общей инсталляции события фильтруются в общем журнале по ролям, сейфам и типам действий. Если требуется полностью чистый журнал только по ИБ-активности (без фонового шума от бизнес-подразделений), физически выделенный ИБ-контур Пассворка обеспечит изолированное логирование.

Какие секреты нельзя хранить в общих сейфах?

В общих сейфах не стоит хранить аварийные учётные записи, root/admin-доступы, токены EDR/SIEM/SOAR, SSH-ключи критичной инфраструктуры, API-ключи облаков и секреты, раскрытие метаданных которых может навредить безопасности.

Как понять, что компании пора переходить от одной инсталляции к двум?

Триггеры перехода: апрет на видимость ИБ-метаданных ИТ-администраторами, требование независимого аудита ИБ-действий, регуляторные требования (ФСТЭК, КИИ), необходимость применения более жестких политик безопасности (MFA, сессии, экспорт) или выделение изолированного DevOps/SRE-контура.

Пассворк 7.1: типы сейфов
Типы сейфов В Пассворк 7.1 управление доступом стало более гибким благодаря системе типов сейфов. Типы сейфов решают главную проблему администраторов — как контролировать доступ к данным и делегировать управление сейфами в большой компании. Ранее выбор был ограничен двумя типами. Теперь можно создавать собственные типы сейфов под любые задачи и структуру
Кейс-стади: МТС Банк и Пассворк
Как МТС Банк объединил управление паролями в единой системе с помощью Пассворка и повысил уровень безопасности.
Импортозамещение ИБ-решений (СЗИ): переход на российское ПО
Переход на российские решения в сфере защиты информации — юридическая обязанность. В статье: сроки, штрафы, пошаговый план миграции и таблицы отечественных аналогов по всем ключевым классам защитных решений.

Разделение контуров в Пассворке: зачем ИБ-отделу собственный менеджер паролей

ИБ-секреты отличаются от обычных корпоративных доступов: компрометация пароля от SIEM — это потеря контроля над всей защитной инфраструктурой. Разбираем, когда достаточно одной инсталляции Пассворка, а когда нужен физически изолированный ИБ-контур.

2 июня 2026 г.
Пассворк стал партнёром TAdviser SummIT 2026

Пассворк выступил партнёром конференции TAdviser SummIT 2026 — одного из главных ИТ-событий года, посвящённого корпоративной цифровизации, импортозамещению и кибербезопасности. Саммит собрал более 1500 делегатов, ИТ-директоров, архитекторов и ИБ-специалистов ведущих российских компаний.

Основной фокус обсуждения сместился с теоретических планов на практику: как переходить на отечественные решения без потери производительности, внедрять искусственный интеллект и защищать инфраструктуру в условиях растущих киберугроз.


Тренды пленарного заседания: от цифровизации к ИИ-агентам

Источник: TAdviser

На пленарном заседании эксперты сошлись во мнении: технологии достигли зрелости, и бизнес переходит к новому этапу развития. Вице-президент «Сбера» Алексей Козырев рассказал о переходе от классической цифровизации к «агентизации» — использованию ИИ-агентов для автоматизации рутины и принятия решений. По прогнозам, этот рынок покажет взрывной рост в ближайшие годы.

Однако внедрение искусственного интеллекта и автоматизация процессов требуют соблюдения жёстких условий. Главные из них — обеспечение высокого качества данных и надежная архитектура с понятными правилами доступа. Без централизованного контроля за тем, какие системы и сотрудники имеют доступ к конфиденциальной информации, усложнение ИТ-инфраструктуры неизбежно ведёт к росту рисков.


Секция ИБ: ИИ наносит удар по слабому звену

Источник: TAdviser

Особое внимание на саммите уделили информационной безопасности. Модератор профильной секции, руководитель центра мониторинга кибербезопасности «ДОМ.РФ» Андрей Устюжанин, поделился тревожной статистикой. За прошлый год на информационные ресурсы России было совершено более 217 000 компьютерных атак. Злоумышленники активно используют ИИ, чтобы сократить время подготовки и проведения взломов.

В этих условиях «слабым звеном» остаются люди и процессы. Эксперты подчеркнули, что защитить компанию силами одного лишь ПО или «железа» невозможно — безопасность требует системного подхода.

Андрей Устюжанин сформулировал базовый минимум кибергигиены, который обязана внедрить любая организация независимо от её масштаба:

  • Использовать сложные и разные пароли для всех типов учётных записей (включая серверы и коммутационное оборудование)
  • Обязательно применять многофакторную аутентификацию (MFA)
  • Регулярно (не реже раза в квартал) блокировать неиспользуемые учётные записи и отзывать избыточные права доступа

Пассворк как фундамент корпоративной безопасности

Пассворк помогает компаниям закрыть требования этого базового минимума ИБ. Как российский корпоративный менеджер паролей, он разработан специально для безопасного управления учётными данными, API-ключами и секретами в масштабах предприятия.

Пассворк автоматизирует рутинные процессы управления доступом:

  • Централизует хранение секретов: исключает использование простых, повторяющихся или записанных на бумаге паролей.
  • Обеспечивает гибкую ролевую модель: позволяет легко отзывать избыточные права доступа и блокировать учётные записи уволенных сотрудников.
  • Ведёт полный аудит: фиксирует все действия пользователей в журнале, что упрощает расследование инцидентов и контроль инфраструктуры.

Решение включено в Единый реестр отечественного ПО (запись № 6147) и сертифицировано ФСТЭК России по 4 уровню доверия. Это делает Пассворк подходящим выбором для государственных организаций, банков, промышленных предприятий и компаний с повышенными требованиями к безопасности данных.

Пассворк уже используют крупные игроки рынка, среди которых Группа «Черкизово», МТС Банк, ВкусВилл и Nexign. Участие в TAdviser SummIT 2026 в качестве партнёра секции «Безопасность» позволяет нам оставаться в постоянном диалоге с ИБ-сообществом и развивать продукт в соответствии с реальными вызовами, с которыми ежедневно сталкиваются ИТ-директора и специалисты по защите данных.

CTA Image

Если ваша компания модернизирует ИТ-системы или переходит на отечественный софт, начните с наведения порядка в доступах. Пассворк поможет объединить все пароли и токены в одной защищённой системе. Протестируйте бесплатно

Кейс-стади: МТС Банк и Пассворк
Как МТС Банк объединил управление паролями в единой системе с помощью Пассворка и повысил уровень безопасности.
Что такое брутфорс (Brute Force): виды, угрозы и защита
В первом квартале 2025 года число брутфорс-атак на российские организации выросло в 2,7 раза. 48% паролей из реальных утечек взламываются за минуту. Разбираем 8 техник перебора, объясняем, чем ИИ изменил атаки, и даём конкретные меры защиты: от парольной политики до управления учётными записями.
Импортозамещение КИИ в 2026: сроки, требования и план перехода
С 2025 года часть запретов на иностранное ПО и СЗИ уже действует. Базовый дедлайн перехода — 2028 год, штрафы за нарушение сроков готовятся. Разбираем требования, сроки и план действий на 2026 год.

Пассворк стал партнёром TAdviser SummIT 2026

На TAdviser SummIT 2026 эксперты обсудили защиту ИТ-инфраструктуры и рост кибератак. Рассказываем о главных трендах пленарного заседания, базовом минимуме кибергигиены от ИБ-директоров и о том, как Пассворк помогает компаниям закрывать требования регуляторов.

31 мая 2026 г.
Что такое VaultJacking и как крадут данные из менеджера паролей Google

20 мая 2026 года исследователи из PhishU описали технику, которую назвали VaultJacking. Один перехваченный шестизначный ПИН-код и злоумышленник получает доступ ко всему синхронизированному хранилищу менеджера паролей Google: учётным данным, ключам доступа (passkey), сохранённым паролям от банков, почты, корпоративных систем. Ко всем сразу.

Для бизнеса это означает следующее: если сотрудник хранит рабочие пароли в Google-аккаунте — это готовая потенциальная точка входа в вашу корпоративную инфраструктуру.


Что такое VaultJacking простыми словами

VaultJacking (от англ. vault — хранилище, сейф и jacking/hijacking — угон, захват) — фишинговая техника, при которой злоумышленник перехватывает ПИН-код от менеджера паролей Google и использует его для доступа к синхронизированному хранилищу паролей и ключам доступа (passkeys). Атака реализована исследователями PhishU в формате PoC (proof-of-concept, демонстрация и проверка концепции) — полная цепочка атаки воспроизведена и задокументирована.

Перехватив ПИН во время AiTM-фишинга (атака типа «злоумышленник посередине»), атакующий получает возможность подключить собственное устройство к «домену безопасности» аккаунта Google и расшифровать всё хранилище целиком.

Ключевые факты

  • Атака нацелена не на отдельный сайт, а на слой синхронизации Google Password Manager, то есть на всё хранилище сразу.
  • Один перехваченный PIN-код открывает доступ ко всем паролям и ключам доступа (passkey, стандарт WebAuthn), сохранённым в аккаунте Google.
  • Ключи доступа защищают вход на конкретный сайт, но не закрывают риск компрометации самого хранилища — это разные уровни модели угроз.
  • Рабочие пароли в личном браузерном профиле сотрудника — неуправляемый актив: компания не видит их, не контролирует и не может отозвать.
  • Меры защиты существуют и применимы без специальных технических знаний.

Принципиальное отличие от классического фишинга — в масштабе: обычный фишинг нацелен на пароль от одного сервиса, VaultJacking — на слой синхронизации, где хранится всё сразу.

Параметр Обычный фишинг VaultJacking
Цель атаки Пароль от одного сайта или сервиса Доступ к синхронизированному хранилищу паролей
Масштаб ущерба Обычно один аккаунт Все пароли и ключи доступа, сохранённые в менеджере паролей Google
Роль MFA Часто существенно снижает риск входа Защита зависит от защиты хранилища и устройств
Что нужно атакующему Пароль + обход MFA конкретного сервиса ПИН от аккаунта Google
Реагирование Сменить пароль, отозвать сессии одного сервиса Сменить пароль Google-аккаунта, проверить все устройства, ключи доступа и критичные сервисы
Важно: идентификатор CVE (Common Vulnerabilities and Exposures, общий реестр уязвимостей и угроз) для VaultJacking на момент публикации не присвоен. Квалифицировать этот вид атаки как официально подтверждённую уязвимость Google пока оснований нет: это фишинговая техника, которая эксплуатирует доверие пользователя к знакомому интерфейсу и архитектурное решение Google разрешать добавление новых устройств без подтверждения с уже существующих.

Что такое фишинг?

Фишинг — вид социальной инженерии и кибератаки, при которой злоумышленник выдаёт себя за доверенное лицо или организацию (банк, сервис, компания) для получения конфиденциальной информации. Обычно осуществляется через поддельные письма, SMS, звонки или веб-сайты, которые выглядят как оригинальные. Цель — кража паролей, данных банковских карт, учётных данных или других персональных данных. Фишинг остаётся одним из наиболее распространённых методов кибератак благодаря простоте исполнения и высокой эффективности.

Что такое атака «злоумышленник посередине» (AiTM-фишинг)?

Атака «злоумышленник посередине» (AiTM, Adversary-in-the-Middle) — продвинутая форма фишинга, при которой злоумышленник перехватывает коммуникацию между пользователем и сервисом в реальном времени. Атакующий создаёт поддельный сервис, который одновременно взаимодействует с настоящим сервером, перенаправляя запросы туда и обратно. Это позволяет ему перехватить пароли, двухфакторные коды, токены сессий и другие учётные данные. AiTM-фишинг особенно опасен, так как обходит двухфакторную аутентификацию (2FA) и требует от пользователя повышенной бдительности. Защита включает использование ключей доступа (passkeys), проверку URL и сертификатов, а также мониторинг аномальной активности.

Что такое ключи доступа (passkeys)?

Ключи доступа (Passkeys) — современный метод аутентификации на основе криптографии с открытым ключом, который заменяет пароли. Пользователь создаёт пару ключей: приватный ключ хранится локально на устройстве (защищён биометрией или PIN), а открытый ключ передаётся серверу. При входе устройство подписывает вызов сервера приватным ключом, доказывая подлинность без передачи секретов. Passkeys устойчивы к фишингу, так как не могут быть перехвачены, и удобнее паролей благодаря биометрической аутентификации. Поддерживаются FIDO2, WebAuthn и используются в iOS, Android, Windows и веб-браузерах.


Как работает атака на менеджер паролей Google

Чтобы понять, почему VaultJacking работает, нужно разобраться в архитектуре Google Password Manager. Каждый аккаунт Google имеет «домен безопасности» (security domain). Устройства, присоединившиеся к этому домену, получают доступ ко всем синхронизированным паролям и ключам доступа. Ключ к расшифровке хранилища называется Security Domain Secret (SDS) — облачный сервис Google выдаёт его любому устройству, которое корректно прошло процедуру присоединения к домену. Эта процедура требует двух вещей: входа в Google-аккаунт и ввода ПИН-кода от менеджера паролей Google.

Важно понимать масштаб: пакет синхронизации (sync-payload) включает не только пароли, но и приватные байты ключей доступа. Начиная с Chrome 359, они записываются в локальную базу данных SQLite и синхронизируются вместе со всем хранилищем, включая ключи, изначально созданные на аппаратном устройстве. VaultJacking восстанавливает их в том числе.

VaultJacking принципиально отличается от смежной техники Browser Syncjacking — атаки на тот же слой синхронизации через вредоносное расширение браузера, установленное на устройстве жертвы. VaultJacking не требует никакого присутствия на устройстве: ни расширения, ни вредоноса, ни предварительного доступа. Атака полностью реализуется через стандартный AiTM-фишинг.


Цепочка атаки: модель четырёх шагов VaultJacking

VaultJacking реализуется за четыре шага: от фишинговой страницы до полной расшифровки хранилища. Каждый шаг опирается на результат предыдущего: перехваченные куки открывают доступ к ПИН-коду, ПИН-код — к домену безопасности, домен безопасности — ко всем сохранённым секретам сразу.

Шаг 1: Фишинговая страница
Пользователь попадает на поддельный вход в аккаунт Google. AiTM-прокси работает прозрачно — видит настоящий интерфейс, но трафик идёт через атакующего.
Шаг 2: Перехват ПИН-кода
Модальное окно с запросом ПИН-кода от Google Password Manager. Стилизовано под Google. Пользователь вводит ПИН, так как видел это в легитимных сценариях.
Шаг 3: Добавление в Security Domain
Атакующий использует куки и ПИН для добавления своего устройства в домен безопасности. Google отправляет уведомление, но оно подавляется.
Шаг 4: Расшифровка хранилища
Устройство получает SDS и расшифровывает всё хранилище: пароли, ключи доступа, сохранённые данные. Без дополнительных запросов.

Шаг 1. Фишинговая страница

Пользователь попадает на поддельную страницу входа в Google, внешне неотличимую от оригинала. AiTM-прокси (прозрачный посредник между жертвой и настоящим сервером Google) работает в режиме реального времени: пользователь видит подлинный интерфейс Google, вводит логин и пароль, проходит многофакторную аутентификацию, и всё это время трафик проходит через инфраструктуру атакующего.

Результат: атакующий получает действующие сессионные куки без каких-либо признаков компрометации со стороны жертвы.

Шаг 2. Перехват ПИН-кода и регистрация скрытого ключа

Сразу после ввода пароля пользователю показывают модальное окно с запросом ПИН-кода от Google Password Manager. Окно стилизовано под стандартный интерфейс Google.

Пока модальное окно активно, поле ввода пароля заблокировано — пользователь не может продолжить, не введя ПИН. Большинство вводят его без подозрений: этот экран знаком по легитимным сценариям Google — настройке нового устройства или восстановлению доступа.

Параллельно атакующий немедленно регистрирует в аккаунте жертвы собственный скрытый ключ доступа (backdoor-passkey). Этот ключ выполняет две функции: обеспечивает долгосрочный доступ к аккаунту даже после смены пароля жертвой и используется на следующем шаге для обхода повторной аутентификации Google.

Результат: атакующий получает ПИН-код и регистрирует в аккаунте жертвы собственный ключ доступа (незаметно для пользователя).

Шаг 3. Присоединение к домену безопасности

Атакующий использует перехваченные сессионные куки и ПИН-код для присоединения собственного устройства к домену безопасности (security domain) аккаунта Google.

К этому моменту исходные куки могут уже истечь — Google проверяет свежесть сессии при добавлении нового устройства. Атакующий обходит эту проверку с помощью скрытого ключа доступа, зарегистрированного на шаге 2: виртуальный аутентификатор автоматически отвечает на запрос повторной аутентификации (reauth), и Google принимает это как легитимный вход.

После успешной аутентификации атакующий вводит перехваченный ПИН-код — облачный сервис Google выдаёт Security Domain Secret (SDS, секретный ключ домена безопасности). Единственный сигнал для жертвы — письмо на почту «новый вход на Windows», идентичное тому, что Google отправляет при любом новом входе в Chrome. Никаких пуш-уведомлений на мобильные устройства, никаких запросов на других запущенных копиях браузера. Если атакующий перехватил почтовый ящик в ходе той же AiTM-сессии — письмо подавляется прежде, чем пользователь его увидит.

Результат: устройство атакующего присоединяется к домену безопасности аккаунта и получает SDS.

Шаг 4. Расшифровка хранилища

Получив SDS, устройство атакующего расшифровывает всё синхронизированное хранилище целиком: пароли, ключи доступа (passkeys), сохранённые данные форм. Никаких дополнительных запросов к пользователю, никаких ограничений по количеству попыток (rate limit).

Пакет синхронизации (sync-payload) включает приватные байты всех ключей доступа — в том числе тех, что изначально создавались на аппаратных аутентификаторах. Начиная с Chrome 359, эти байты записываются в локальную базу данных SQLite браузера и передаются вместе с остальными данными синхронизации. Аппаратная защита работает на уровне создания ключа, но не на уровне синхронизации хранилища.

Результат: атакующий получает всё хранилище целиком — один ПИН-код даёт доступ ко всем сохранённым секретам сразу.

Результат: каскадная компрометация

Расшифрованное хранилище — не конечная точка атаки. Злоумышленник получает готовый список учётных данных от всех сервисов, которые жертва когда-либо сохраняла в Google Password Manager. Каждая запись в хранилище — потенциальная точка входа в отдельную систему.

Для бизнеса это означает каскадный эффект: компрометация одного личного профиля последовательно открывает доступ к корпоративным ресурсам, к которым у сотрудника были права. Смена пароля Google-аккаунта останавливает дальнейшую синхронизацию, но не отменяет уже полученный доступ к сторонним сервисам.

Что делать: сменить пароли от критичных сервисов сразу после обнаружения инцидента, проверить журналы входов в банки, почту, облака и корпоративные системы на признаки несанкционированного доступа.

Исследователи PhishU отдельно отметили архитектурный выбор Google: в отличие от Apple iCloud Keychain, который требует подтверждения с существующих устройств при добавлении нового, Google Password Manager использует модель «ПИН + серверная проверка» без пуш-уведомлений на другие устройства аккаунта. Это осознанное решение в пользу удобства восстановления доступа при потере устройства — и именно оно создаёт описанный вектор атаки.

Почему ПИН может стать проблемой

ПИН-код от аккаунта Google воспринимается большинством пользователей как вспомогательный элемент — что-то вроде кода разблокировки экрана, а не как ключ к хранилищу. Это восприятие расходится с реальной архитектурой системы.

С точки зрения модели безопасности Google, ПИН-код — это единственный короткий секрет, который управляет доступом к Security Domain Secret. Именно он позволяет новому устройству расшифровать всё синхронизированный хранилище. Шесть цифр защищают всё, что пользователь когда-либо сохранил в Google Password Manager.

Проблема усугубляется тремя факторами:

  • Доверие к интерфейсу. Пользователи привыкли вводить ПИН в легитимных сценариях Google: при настройке нового устройства или восстановлении доступа. Поддельный запрос ПИН-кода выглядит знакомо.
  • Низкая осознанность. ПИН-код не воспринимается как «пароль от всего» — пользователь не понимает, что именно он защищает.
  • Синхронизация как множитель ущерба. Чем больше паролей сохранено в менеджере паролей Google, тем выше потенциальный ущерб от компрометации ПИН-кода.
По данным Positive Technologies, в 2025 году злоумышленники использовали электронную почту в 80% киберпреступлений, начинавшихся с социальной инженерии, и в 70% случаев доставки вредоносного ПО. Фишинг трансформируется в технологичную сервисную индустрию Phishing as a Service (PhaaS), и VaultJacking вписывается именно в этот тренд: автоматизированный перехват кодов как часть стандартного AiTM-фишинга.
CTA Image

Если ваши сотрудники хранят рабочие пароли в браузерах, VaultJacking — наглядный пример того, чем это заканчивается. Пассворк централизует корпоративные пароли и секреты, разграничивает доступ по ролям и позволяет настроить обязательное использование MFA для всей команды. Протестировать можно бесплатно


Защищают ли ключи доступа от VaultJacking

Ключи доступа (passkey) защищают от VaultJacking лишь частично — и важно понимать, где именно проходит граница этой защиты. Ключи доступа реализованы по стандарту WebAuthn и привязаны к конкретному домену сайта. При входе на легитимный сайт ключ доступа не передаётся на поддельный домен — это одна из ключевых защитных свойств технологии.

Однако VaultJacking атакует другой уровень: не вход на конкретный сайт, а синхронизацию хранилища, где ключи доступа хранятся и управляются. Если атакующий получил доступ к Security Domain Secret, он получает и все синхронизированные ключи.

Вопрос Ответ
Ключи доступа защищают от ввода пароля на фишинговом сайте? Да, WebAuthn-привязка к домену не позволяет передать учётные данные на поддельный сайт
Ключи доступа полностью исключают риск компрометации хранилища? Нет, хранилище и синхронизация представляют собой отдельный уровень риска, не зависящий от защиты на уровне конкретного сайта.
Нужно ли отказываться от ключей доступа? Нет, ключи снижают риск классического фишинга и остаются более безопасной альтернативой паролям для входа на сайты.
Что важно для компании? Управлять тем, где хранятся рабочие секреты, кто имеет к ним доступ и как отслеживаются действия — независимо от типа учётных данных

Вывод: Ключи доступа и VaultJacking существуют на разных уровнях модели угроз. Ключи решают проблему фишинга на уровне входа в конкретный сервис. VaultJacking работает на уровне синхронизации хранилища: там, где ключи доступа уже сохранены и управляются через аккаунт.

VaultJacking эксплуатирует доверие пользователя к знакомому интерфейсу — это классический приём социальной инженерии, который сегодня усиливается с помощью ИИ и дипфейков. О моделях фишинга нового поколения — в нашей статье «ИИ-фишинг и дипфейки: как обучить сотрудников распознавать угрозы нового поколения».

Чем VaultJacking опасен для бизнеса

Чем VaultJacking опасен для бизнеса

Когда сотрудник хранит в Google Password Manager пароли от корпоративной почты, админок, облачной инфраструктуры, репозиториев или административных панелей — его личный аккаунт в браузере становится точкой входа в корпоративный периметр. Компрометация этого профиля через VaultJacking превращается из личного инцидента в потенциальное нарушение безопасности всей организации.

Российские данные подтверждают масштаб угрозы. По данным Лаборатории Касперского, в 2025 году система «Антифишинг» предотвратила 554 002 207 попыток перехода по фишинговым ссылкам. По данным Yandex B2B Tech, 54% кибератак в 2025 году начинались с использования слитых или скомпрометированных паролей, а в облачных инфраструктурах было зафиксировано 25 тысяч попыток взлома (Anti-Malware.ru, 2025). ГК «Солар» в отчёте Solar JSOC за 2025 год зафиксировала более 1,16 млн событий ИБ и свыше 33 тысяч подтверждённых инцидентов — среди которых кража учётных данных выделена как отдельная подкатегория несанкционированного доступа.

Особую роль здесь играет феномен «теневого ИТ» (Shadow IT) в управлении паролями: сотрудники используют личные браузерные профили для рабочих задач не из злого умысла, а из удобства. У компании при этом нет ни видимости, ни контроля над тем, какие рабочие секреты там хранятся.

Матрица корпоративных рисков браузерного хранилища

Риск Почему браузерный менеджер его не закрывает
Сотрудник уволился, но пароли остались в его аккаунте Нет централизованного отзыва доступа
Неизвестно, какие рабочие пароли сохранены в личном профиле Нет инвентаризации и аудита
Нет разграничения: кто видит какие пароли Нет ролевой модели
Инцидент с личным аккаунтом = инцидент с рабочими данными Нет изоляции личного и корпоративного
Невозможно интегрировать с SIEM и отслеживать события Нет журнала действий

Как защититься пользователю

Практический план для тех, кто использует Google Password Manager в личных или рабочих целях.

Превентивные меры

  • Проверяйте домен и контекст перед вводом ПИН-кода. Запрос ПИН-кода от менеджера паролей Google на сторонних сайтах — тревожный сигнал.
  • Никогда не вводите ПИН на страницах, открытых по ссылке из письма или мессенджера.
  • Включите двухфакторную аутентификацию (2FA) для аккаунта Google с аппаратным ключом или приложением-аутентификатором, не по SMS.
  • Регулярно проверяйте список устройств в настройках Google-аккаунта: раздел БезопасностьВаши устройства. Незнакомое устройство — повод немедленно отозвать доступ.
  • Включите уведомления о новых входах в аккаунт.

Разграничение личного и рабочего

  • Не сохраняйте рабочие пароли в личном браузерном профиле.
  • Используйте отдельные профили браузера для личного и рабочего использования.
  • Для рабочих учётных данных — только корпоративный менеджер паролей с централизованным управлением и журналом действий.

Что делать, если ПИН уже введён на подозрительном сайте

Если вы подозреваете, что ввели ПИн-код на поддельной странице, действуйте по алгоритму. Скорость реагирования критична: у атакующего есть временное окно до того, как он завершит присоединение своего устройства к домену безопасности.

Приоритет Действие Зачем это нужно
🔴 Критично Сменить пароль Google-аккаунта и проверить данные для восстановления (телефон, резервная почта) Снизить риск повторного входа атакующего
🔴 Критично Открыть настройки Google → «Безопасность» → «Ваши устройства», удалить все незнакомые устройства Отозвать доступ к Security Domain
🔴 Критично Проверить раздел «Ключи доступа» (passkey) в настройках аккаунта, удалить незнакомые записи Удалить ключи доступа, добавленные злоумышленником без вашего ведома
🟠 Важно Сменить пароли от критичных сервисов, сохранённых в Google Password Manager Снизить ущерб от потенциального доступа к хранилищу
🟠 Важно Проверить почту, банки, облака, корпоративные сервисы и репозитории на признаки несанкционированного доступа Найти следы дальнейшей компрометации
🟡 Плановое Сообщить ИБ-команде, если в хранилище были рабочие учётные данные Перевести личный инцидент в управляемый корпоративный процесс
🟡 Плановое Сменить ПИН-кода менеджера паролей Google Исключить повторное использование перехваченного ПИН-кода

Что должны сделать компании

Обучение сотрудников «не вводить ПИН-код на подозрительных страницах» — необходимая, но недостаточная мера. Человеческий фактор остаётся самым слабым звеном: именно поэтому VaultJacking работает через социальную инженерию, а не через уязвимость в коде. Системный ответ — управлять местом хранения рабочих секретов, а не только поведением сотрудников.

Корпоративная модель защиты от рисков браузерных хранилищ

  • Политика хранения рабочих паролей. Запрет хранения рабочих учётных данных в личных браузерных профилях фиксируется в регламенте ИБ.
  • Корпоративный менеджер паролей. Рабочие секреты отделяются от личного браузерного профиля и хранятся в управляемой инфраструктуре.
  • Ролевая модель доступа. Сотрудник видит только те секреты, которые нужны для работы — принцип минимальных привилегий.
  • Журналирование и аудит. ИБ-команда получает полную видимость действий с паролями: кто, когда, что изменил или скопировал.
  • Интеграция с AD/LDAP и SSO. Упрощается управление жизненным циклом учётных записей: приём, перевод, увольнение.
  • Отзыв доступа при увольнении. Администратор удаляет учётную запись один раз — доступ отзывается из всех хранилищ автоматически.
  • Интеграция с SIEM (система управления событиями безопасности). События по паролям становятся частью мониторинга ИБ и коррелируются с другими инцидентами.

Нормативный контекст

Для организаций в регулируемых отраслях хранение рабочих учётных данных в личных браузерных профилях — потенциальное нарушение требований регуляторов.

Статья 19 Федерального закона № 152-ФЗ «О персональных данных» обязывает оператора применять организационные и технические меры защиты. Приказ ФСТЭК России № 21 определяет требования к идентификации и аутентификации, включая управление учётными записями и парольную политику. Инцидент, связанный с компрометацией учётных данных через личный браузерный профиль сотрудника, может квалифицироваться как нарушение обоих документов.

CTA Image

Если инцидент затронул рабочие учётные данные — это сигнал для пересмотра политики хранения паролей в компании. Пассворк позволяет централизованно управлять корпоративными секретами, разграничивать доступ по ролям и отслеживать все действия в журнале аудита. Подробнее


Почему корпоративный менеджер паролей безопаснее браузерного для рабочих данных

Почему корпоративный менеджер паролей безопаснее браузерного для рабочих данных

Браузерный менеджер паролей решает задачу личного удобства: автозаполнение, синхронизация между устройствами, хранение без усилий. Для индивидуального пользователя это разумный выбор. Для корпоративной среды та же простота становится структурной проблемой.

Пассворк — корпоративная альтернатива личным браузерным хранилищам. Браузерное расширение Пассворка работает так же, как встроенный менеджер браузера: автозаполняет логины и пароли на сайтах, предлагает сохранить новые учётные данные — но при этом хранит их в защищённом корпоративном хранилище, а не в личном профиле браузера.

Пассворк поддерживает хранение данных на сервере заказчика, шифрование по AES-256, интеграцию с Active Directory / LDAP, авторизацию через SSO, ролевую модель, журнал действий, интеграцию с SIEM-системами, API и CLI для DevOps-задач.

Критерий Браузер Пассворк
Где хранятся данные В облаке провайдера браузера На сервере компании
Шифрование Управляется провайдером, ключи у него же AES-256, ключи шифрования у компании
Автозаполнение Есть Есть в браузерном расширении — интерфейс не отличается от встроенного
Разграничение доступа Нет — все видят всё, к чему есть ссылка Роли и группы: сотрудник видит только свои секреты
Общие пароли команды Передаются вручную — в чатах, почте, стикерах Хранятся в общих сейфах и папках с контролем доступа
Журнал действий Нет Полный аудит: кто, когда, что изменил или скопировал
Видимость для ИБ-команды Нет — личный профиль вне контроля компании Полная: все сейфы, права, события
Интеграция с инфраструктурой Нет AD/LDAP, SSO, SIEM, API, CLI
Защита от VaultJacking Уязвим: ПИН синхронизирует всё хранилище Хранилище изолировано от браузерного профиля и личного аккаунта
Соответствие требованиям регуляторов Не подтверждено Подтверждено лицензиями и сертификатами

Итог: управление секретами как ответ на атаки нового поколения

Итог: управление секретами как ответ на атаки нового поколения

VaultJacking наглядно показывает, как меняется логика атак: цель смещается с отдельных учётных записей на инфраструктуру доверия — синхронизацию, хранилища, слои управления доступом. Один перехваченный ПИН-код ценнее десяти перехваченных паролей от отдельных сайтов.

Для компаний практический вывод однозначен: рабочие секреты не должны находиться там, где у ИБ-команды нет ни видимости, ни контроля. Первый шаг — провести инвентаризацию: где сейчас хранятся корпоративные пароли, сколько сотрудников использует личные браузерные профили для рабочих задач и что произойдёт, если один из этих профилей будет скомпрометирован.

Ответ на этот вопрос определит, насколько срочно нужны изменения в политике управления учётными данными.

CTA Image

Рабочие пароли вашей команды сейчас в браузере — значит, один скомпрометированный ПИН-код открывает всё сразу. Пассворк разворачивается на вашем сервере или в облаке, изолирует корпоративные секреты от личных профилей и даёт ИБ-команде полную видимость. Протестировать можно бесплатно


Часто задаваемые вопросы

Часто задаваемые вопросы

Что такое VaultJacking?

VaultJacking — фишинговая техника, при которой злоумышленник перехватывает ПИН-код от Google Password Manager в ходе AiTM-атаки и использует его для присоединения собственного устройства к домену безопасности аккаунта Google. После этого атакующий получает доступ ко всему синхронизированному хранилищу: паролям и ключам доступа.

Правда ли, что можно украсть все пароли из Google Password Manager за одну атаку?

Исследователя продемонстрировали такой сценарий как концепт: при успешной цепочке атаки перехваченный ПИН-код позволяет расшифровать всё синхронизированное хранилище. Массовая эксплуатация этой техники на момент публикации не подтверждена независимыми источниками. Риск реален, но требует успешного проведения AiTM-фишинга и ввода ПИН-кода пользователем.

VaultJacking — это уязвимость Google или фишинговая техника?

VaultJacking — фишинговая техника, эксплуатирующая архитектурное решение Google: добавление нового устройства в домен безопасности требует только ПИН-код, без подтверждения с существующих устройств. Google не публиковал официального заявления об уязвимости. Корректнее описывать это как модель риска, а не как CVE-уязвимость.

Почему ключи доступа (passkey) не решают проблему полностью?

Ключи доступа защищают вход на конкретный сайт: WebAuthn-привязка к домену не позволяет передать учётные данные на поддельный сайт. Однако VaultJacking атакует уровень синхронизации хранилища, где ключи доступа хранятся и управляются. Компрометация Security Domain Secret даёт доступ к самим ключам.

Нужно ли исключить использование менеджера паролей Google?

Для личного использования — нет, но нужно усилить защиту аккаунта: включить 2ФА с аппаратным ключом, регулярно проверять список устройств, не вводить ПИН-код по запросам из писем и ссылок. Для бизнеса важнее другое: запретить хранение рабочих секретов в личных браузерных профилях и перейти на корпоративный менеджер паролей с ролями, аудитом и централизованным управлением.

Что делать, если я ввёл ПИН-код на подозрительном сайте?

Действуйте немедленно: смените пароль Google-аккаунта, проверьте и удалите незнакомые устройства и ключи доступа в настройках безопасности, отзовите активные сессии, смените пароли от критичных сервисов. Если в хранилище были рабочие учётные данные — уведомите ИБ-команду.

Как компания может снизить риск VaultJacking?

Системный ответ — управлять местом хранения рабочих секретов. Конкретные меры: политика запрета хранения рабочих паролей в личных браузерных профилях, корпоративный менеджер паролей с ролевым доступом и аудитом, интеграция с AD/LDAP и SSO, централизованный отзыв доступа при увольнении, интеграция событий с SIEM.

Как Пассворк защищает от VaultJacking?

Пассворк решает задачу, которую VaultJacking делает видимой: рабочие пароли не должны храниться в личных браузерных профилях сотрудников. Пассворк — корпоративный менеджер паролей с хранением данных на сервере компании или в облаке, ролевой моделью, журналом действий, интеграцией с AD/LDAP, SSO и SIEM.

Зачем нужен менеджер паролей для бизнеса, если есть KeePass?
KeePass шифрует пароли, но не управляет доступами. Разбираем, где заканчивается его применимость в бизнесе и когда нужен корпоративный инструмент.
11 способов взлома паролей, которые хакеры используют в 2026 году
Больше половины паролей можно подобрать меньше чем за час. Но брутфорс уже не главная угроза. Инфостилеры, AiTM-фишинг, PassGAN и обход MFA — разбираем 11 актуальных методов взлома паролей в 2026 году и даём конкретный чек-лист защиты.
Атака на цепочку поставок: взлом Bitwarden CLI, Shai-Hulud и выводы
Зачем атаковать защищённую корпоративную сеть, если можно взломать npm-пакет с миллионами скачиваний? Разбираем три резонансных инцидента 2026 года: компрометацию Bitwarden CLI через GitHub Actions, вредонос в Axios и утечку OAuth-токенов через Vercel. Что их объединяет и как защитить CI/CD.

Что такое VaultJacking и как крадут данные из менеджера паролей Google

20 мая 2026 года исследователи PhishU описали VaultJacking: один перехваченный ПИН-код от Google Password Manager позволяет получить все сохранённые пароли и ключи доступа. Для бизнеса это означает: личный браузерный профиль сотрудника — готовая точка входа в корпоративную инфраструктуру.