Длина 15 символов — порог, на котором Microsoft Active Directory перестаёт сохранять устаревший LM-хеш, а стандарт CIS Controls v8 устанавливает её минимумом для административных аккаунтов.
Отсканируйте для передачи пароля на другое устройство
В Microsoft Active Directory исторически пароли хешировались алгоритмом LM-хеш: пароль разбивался на блоки по 7 символов, каждый хешировался независимо, что катастрофически снижало стойкость. Документация Microsoft явно указывает: пароли длиннее 14 символов не сохраняются в LM-формате — система автоматически переключается на NTLMv2.
Поэтому 15 символов в корпоративной среде — это техническая гарантия отказа от LM-хеша даже без правки групповой политики NoLMHash. 15-символьный пароль физически невозможно сохранить в уязвимом формате, и это закрепило длину как де-факто стандарт для доменных учётных записей Windows.
При полном смешанном алфавите 95 символов 15-значный пароль имеет энтропию около 98 бит. Пространство комбинаций — 95¹⁵ ≈ 4.6 × 10²⁹, что в 9 000 раз больше 12-символьного и в 80 миллионов раз меньше 16-символьного.
Время перебора всех вариантов на GPU-ферме со скоростью 10¹¹ хешей в секунду — около 700 миллионов лет. Для практических атак этого хватает с многократным запасом — 15 символов выводят пароль за пределы реалистичного перебора.
CIS Controls v8 (Center for Internet Security, 2021) в Safeguard 5.2 требует минимум 14 символов для пользовательских и 15 для административных аккаунтов. Стандарт лежит в основе compliance-фреймворков SOC 2, PCI DSS 4.0 и HIPAA — на 15 символах закрываются требования всех трёх одновременно.
Если организация проходит compliance-аудит, выставление 15-символьного минимума в политике паролей снимает класс вопросов аудитора. Доменная политика Windows AD в этом случае настраивается через GPO Default Domain Policy → Password Policy → Minimum password length.
12 → 15 символов: пространство паролей растёт в 9 000 раз. Прирост стойкости радикальный, и при этом длина остаётся управляемой для ручного ввода в особых случаях (восстановление аккаунта, ввод на новом устройстве).
15 → 16 символов: ещё ×95. Прирост уже плавный — в большинстве случаев между 15 и 16 разница ощущается только формально. Если выбираете для personal use без требований compliance — берите 16 для круглого числа. Если для корпорации — 15 ровно достаточно.
15-символьный пароль уже сложно вводить руками, но всё ещё реалистично. Используйте его там, где менеджер паролей не всегда доступен (например, BIOS, доменный логин до загрузки ОС). Включите все четыре класса символов — заглавные, строчные, цифры, спецсимволы — для максимальной энтропии. Если сервис не принимает определённые символы, используйте поле «Исключить».
Для критичных корпоративных аккаунтов 15-символьного пароля недостаточно без второго фактора. Аппаратный ключ (YubiKey, Titan) или приложение-аутентификатор обязательны — длина пароля не защищает от фишинга или утечки сессионного токена.