Надёжный пароль — это не тот, который выглядит сложным, а тот, который статистически невозможно подобрать. Разница принципиальная, и именно её не понимает большинство пользователей. Разберём, что действительно работает.
Что делает пароль надёжным
Стойкость пароля определяется одной величиной — энтропией. Это мера непредсказуемости, измеряемая в битах. Каждый бит энтропии удваивает количество вариантов, которые придётся перебрать атакующему. Пароль с энтропией 40 бит перебирается за часы, с 80 бит — за миллиарды лет.
Энтропия зависит от двух вещей: размера набора символов и длины. Но критично здесь то, что символы должны выбираться по-настоящему случайно. Пароль Кошка2024! использует все классы символов, но его энтропия близка к нулю — он построен из предсказуемого слова, года и восклицательного знака. Атакующий не перебирает его посимвольно, он берёт словарь.
Именно поэтому пароли стоит не придумывать, а генерировать. Генератор паролей PassMakers использует криптографический источник случайности crypto.getRandomValues — каждый символ выбирается независимо и равновероятно.
Типичные ошибки
Почти все слабые пароли попадают в одну из категорий:
- Словарные слова — даже с заменами букв (
P@ssw0rd). Подмены@→a,0→o,1→iизвестны переборным утилитам и не добавляют стойкости. - Личные данные — даты рождения, имена, клички питомцев, номера телефонов. Всё это собирается из соцсетей за минуты.
- Клавиатурные паттерны —
qwerty,1qaz2wsx,qazwsx. Выглядят случайно, но входят в стандартные словари атак. - Повторное использование — один пароль на нескольких сайтах. Взлом одного сервиса открывает все остальные.
Длина важнее сложности
Это главный вывод, который противоречит привычным «требованиям сложности». Добавить пароль на четыре символа эффективнее, чем добавить спецсимвол.
8-символьный пароль из полного набора символов перебирается на современной видеокарте за часы. 12 символов — это уже тысячелетия. 16 символов выходят за пределы любой реалистичной атаки. Проверить конкретный пароль можно в калькуляторе времени взлома, а оценить общую стойкость — в инструменте проверки надёжности.
Практический ориентир: минимум 12 символов для обычных аккаунтов, 16 и больше — для почты, банков и менеджера паролей.
Парольные фразы — удобная альтернатива
Случайный 16-символьный пароль невозможно запомнить. Но есть формат, который сочетает стойкость и запоминаемость — парольная фраза из нескольких случайных слов, например пятница-якорь-чёрный-сахар-зеркало.
Пять случайных слов из большого словаря дают энтропию, сопоставимую со случайным паролем, но фразу человек запоминает за минуту. Это идеальный выбор для мастер-пароля. Сгенерировать фразу можно в генераторе парольных фраз.
Менеджер паролей и двухфакторная аутентификация
Невозможно держать в голове десятки уникальных паролей — и не нужно. Используйте менеджер паролей: Bitwarden, KeePassXC или 1Password. Подробный разбор — в статье как выбрать менеджер паролей. Он хранит зашифрованную базу, а вы запоминаете только один мастер-пароль (лучше — парольную фразу).
Поверх пароля обязательно включайте двухфакторную аутентификацию. Даже если пароль утечёт, без второго фактора в аккаунт не войдут. И периодически проверяйте свои пароли на попадание в утечки — сложный пароль перестаёт быть надёжным, если он уже засветился в украденной базе.
Коротко
Надёжный пароль — длинный, случайный и уникальный для каждого сервиса. Не придумывайте его сами: генерируйте, храните в менеджере, защищайте вторым фактором. Этого достаточно, чтобы закрыть подавляющее большинство реальных угроз.