Как создать надёжный пароль и никогда его не забыть
Практическое руководство по надёжности паролей, энтропии и почему генератор паролей безопаснее, чем придуманный самостоятельно.
Люди плохо придумывают случайные пароли. Мы мыслим шаблонами — имена, любимые команды, года, клавиатурные дорожки вроде qwerty123. Злоумышленники об этом знают. Их словари содержат миллионы таких паттернов, и современные инструменты для взлома перебирают их первыми — до того, как перейдут к чему-то действительно случайному. Единственное надёжное решение — перестать придумывать пароли самостоятельно и доверить это машине.
Что делает пароль надёжным
Надёжность определяется двумя вещами: длиной и размером набора символов. Вместе они задают энтропию — количество бит случайности в пароле.
Формула: энтропия = log₂(размер_набора) × длина
| Набор символов | Размер | Бит на символ |
|---|---|---|
| Только строчные (a–z) | 26 | 4,7 бит |
| Строчные + заглавные | 52 | 5,7 бит |
| Строчные + заглавные + цифры | 62 | 6,0 бит |
| Строчные + заглавные + цифры + символы | ~90 | 6,5 бит |
Пароль из 16 символов со всеми четырьмя наборами даёт около 104 бит энтропии. При триллионе попыток в секунду — быстрее любого существующего оборудования — на перебор ушло бы больше времени, чем существует Вселенная. Это не фигура речи.
Почему «умные» пароли всё равно ненадёжны
Замена букв цифрами — p@ssw0rd — казалась хитростью в 2005 году. Современные инструменты автоматически применяют тысячи правил подстановки. Ваш «умный» вариант, скорее всего, уже есть в их словаре.
Парольные фразы из четырёх и более случайных слов — например, «верный конь батарея скобка» — лучше: они достаточно длинные, чтобы иметь реальную энтропию. Но слова должны быть по-настоящему случайными, а не строчками из любимой песни. Если вы помните, почему выбрали именно эти слова, — они, вероятно, недостаточно случайны.
Самое простое решение — использовать генератор.
Как безопасно пользоваться генератором паролей
Наш Генератор паролей использует Web Crypto API (crypto.getRandomValues) — тот же криптографический источник, который браузер применяет для TLS-соединений. Разница с Math.random() принципиальная: последний воспроизводим и предсказуем, а Web Crypto API разработан специально для задач безопасности, а не для перемешивания карт.
Несколько практических моментов:
- 16+ символов — оптимальная длина для большинства аккаунтов. Всё, что превышает 12 символов с полным набором, вычислительно недостижимо для перебора.
- Включайте все наборы символов, если сервис это позволяет. Некоторые устаревшие системы не принимают определённые символы — в таком случае просто увеличьте длину.
- Используйте менеджер паролей. Сгенерированный пароль полезен только если вы можете его потом найти. Bitwarden — бесплатный и с открытым кодом. 1Password и KeePass тоже хороши. Текстовый файл — нет.
- Отдельный пароль для каждого сайта. Главная причина каскадного ущерба от утечек — повторное использование. Если один сайт взломан и пароль скомпрометирован, он не должен подходить нигде больше.
Как работает индикатор надёжности
Инструмент показывает энтропию в битах и уровень надёжности:
- Слабый — менее 40 бит (короткий или ограниченный набор символов)
- Удовлетворительный — 40–60 бит (подходит для малозначимых аккаунтов)
- Надёжный — 60–80 бит (подходит для большинства важных аккаунтов)
- Очень надёжный — 80+ бит (криптографически устойчивый)
Для всего, что важно, стремитесь к «Надёжному» или выше. Для мастер-паролей и ключей шифрования — максимальная длина со всеми наборами символов.
Конфиденциальность
Всё происходит в браузере. Пароль генерируется локально с использованием источника энтропии вашего устройства и никогда не передаётся по сети. Страница работает даже без интернета.
Попробуйте Генератор паролей — создайте надёжный пароль одним нажатием, скопируйте и сохраните в менеджере паролей.